Isass.exe und Fehler 128

#1 Hallo ihr fleißigen Helfer

Sicher ist das das zig hundertste Thema zu diesen Isass.exe und der Fehlermeldung 128. Auch mich hat es erwischt.
Nun aber zu meinem Problem:

Ich gehe über WLan online. Gebrauche dann normaler weise den IE.
Alles läuft prima. Kein herunter fahrendes System. Starte ich dann allerdings die AOL Software und gehe dann mit dieser online kommt sofort das Fenster mit der Meldung das der PC heruntergefahren wird. (Iass.exe, Fehler 128 bla bla bla)
Ich habe schon a2, Adaware, Spybot, avastClean, Stinger, AV und FxSasser drüber laufen lassen. Einen Virus hatte es angezeigt W32/Polybot.

Hier mein Hijack Log:

Logfile of HijackThis v1.98.2
Scan saved at 04:08:06, on 19.08.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~2\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\Trirot.exe
C:\WINNT\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\wlanSTA.EXE
C:\WINNT\System32\USBMonit.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\internat.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Win2000Sicherheitspatch\HijackThisLog\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\WIN200~1\Spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [wlanSTA.EXE] wlanSTA.EXE START
O4 - HKLM\..\Run: [AnyDVD] F:\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\USBMonit.exe
O4 - HKLM\..\Run: [Windows Time Server] mswind32.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~2\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [Windows Time Server] mswind32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [a²] "F:\Spywareentferner\a2\a2\a2guard.exe"
O4 - Global Startup: hp officejet 4100 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: concept/design's onlineTV - {43290ACF-7958-47E2-AF0C-31BCF60FAA07} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C23D69-BE69-47A0-B98E-A13487E269A2}: NameServer = 202.98.98.98,61.139.2.69
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DED35D7-099C-419C-A84E-676BCE692E31}: NameServer = 202.96.128.68 61.139.2.69



Hoffe das reicht für euch, um mir zu helfen.

Grüßle

PS: Hatte noch was vergessen.
Wenn das Fenster erscheint kann man ja das mit shutdown -a abbrechen. Das geht aber bei mir nicht. Da steht dann das es das nicht gibt.

#2 Hallo @naagnaag

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe (danach sofort neustarten
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~2\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Windows Time Server] mswind32.exe
O4 - HKLM\..\RunServices: [Windows Time Server] mswind32.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

Kennen Sie die IP oder die Domäne '202.98.98.98,61.139.2.69 ' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C23D69-BE69-47A0-B98E-A13487E269A2}: NameServer = 202.98.98.98,61.139.2.69
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DED35D7-099C-419C-A84E-676BCE692E31}: NameServer = 202.96.128.68 61.139.2.69


NEUSTARTEN

Lade LSPfix
loesche mit diesem Tool den Winsockvirus:newdotnet6_30.dll
http://www.spychecker.com/program/lspfix.html

#Lade Spybot, auch um das Problem vom Winsock-Virus <new.net<zu loesen
http://www.safer-networking.org/de/download/index.html

#Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

---Gehe in den abgesicherten Modus:
http://www.bsi.de/av/texte/winsave.htm

#suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

normal neustarten

Poste das Log noch mal. (und das Virenlog von eScan)
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina

Als 1. der Hijack Log


Logfile of HijackThis v1.98.2
Scan saved at 07:04:15, on 23.08.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~2\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~2\eScan\helperservice.exe
C:\PROGRA~2\eScan\avkserv.exe
C:\PROGRA~2\eScan\AVKWCTL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~2\eScan\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\locator.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\wlanSTA.EXE
C:\WINNT\System32\USBMonit.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~2\eScan\TRAYICOS.EXE
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\internat.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~2\eScan\Download.exe
F:\Win2000Sicherheitspatch\HijackThisLog\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\WIN200~1\Spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - F:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [wlanSTA.EXE] wlanSTA.EXE START
O4 - HKLM\..\Run: [AnyDVD] F:\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\USBMonit.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~2\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~2\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: hp officejet 4100 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: concept/design's onlineTV - {D2D8A888-FDA8-436F-8A0F-9406F6000F97} - C:\Programme\onlineTV\onlineTV.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C23D69-BE69-47A0-B98E-A13487E269A2}: NameServer = 202.98.98.98,61.139.2.69
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DED35D7-099C-419C-A84E-676BCE692E31}: NameServer = 202.96.128.68 61.139.2.69



Vielleicht bin ich nur zu blöd und zu blind, aber eine Wiederherstellung konnte ich weder aktivieren oder deaktivieren weil ich solch eine Funktion auf meinem Rechner gar nicht erst finden konnte.
(Windows 2000 Professional)

Die zu fixenden Punkte hab ich ausgeführt. Alle bis auf einen wurden gefixd. Dieser geht nicht zu löschen.

LSPfix runtergeladen und ausgeführt.

Spybot durchlaufen lassen. Auch da konnte nicht alles gelöscht werden.

eScan runtergeladen und auch alles so gemacht wie von dir beschrieben. (Dos Fenster)

PC dann im abgesicherten Modus hoch gefahren, nach der mwav.exe gesucht und angeklickt. Doch da erscheint das die 30 Tage abgelaufen sind.

eScan dann im normalen Modus durchgeführt. Da ist er dann hängen geblieben. Nichts ging mehr. Somit kein Log vom eScan.

AV bringt immer eine Fehlermeldung das ein Wurm Agobot.KF da ist.

Habe dann noch mal versucht mit der AOL Software online zu gehen und da kam nach ein paar Sekunden wieder dieses Typische Fenster das der PC in 60s runter gefahren wird blablabla.

Kann ich noch was anderes tun als den PC neu zu formatieren?

Danke für die Hilfe

#4 Hallo,

Zitat

Vielleicht bin ich nur zu blöd und zu blind, aber eine Wiederherstellung konnte ich weder aktivieren oder deaktivieren weil ich solch eine Funktion auf meinem Rechner gar nicht erst finden konnte.
(Windows 2000 Professional)

Das ist schon Ok, denn Win 2000 gibt es keine Systemwiederherstellung.

Zitat

Habe dann noch mal versucht mit der AOL Software online zu gehen und da kam nach ein paar Sekunden wieder dieses Typische Fenster das der PC in 60s runter gefahren wird blablabla.

Solange dein System weiterhin ungepatcht ist, wirst du ständig mit dieser Kompromittierung leben.

Zitat

Kann ich noch was anderes tun als den PC neu zu formatieren?

Es wäre für dich die sicherste Lösung.
Lies bitte diesen Thread:
http://board.protecus.de/t12099.htm
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 @naagnaag

Du sollest unbedingt unter Systemsteuerung/Software die Software NewDotNet deinstallieren.

Dann poste bitte nochmal das HiAjckThis-Logfile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Hallo


Hier das Hijack Log


Logfile of HijackThis v1.98.2
Scan saved at 18:27:35, on 23.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~2\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~2\eScan\helperservice.exe
C:\PROGRA~2\eScan\avkserv.exe
C:\PROGRA~2\eScan\AVKWCTL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~2\eScan\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\wlanSTA.EXE
C:\WINNT\System32\USBMonit.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~2\eScan\TRAYICOS.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Win2000Sicherheitspatch\HijackThisLog\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\WIN200~1\Spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - F:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [wlanSTA.EXE] wlanSTA.EXE START
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\System32\USBMonit.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~2\eScan\TRAYICOS.EXE /App
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: hp officejet 4100 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: concept/design's onlineTV - {D2D8A888-FDA8-436F-8A0F-9406F6000F97} - C:\Programme\onlineTV\onlineTV.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C23D69-BE69-47A0-B98E-A13487E269A2}: NameServer = 202.98.98.98,61.139.2.69
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DED35D7-099C-419C-A84E-676BCE692E31}: NameServer = 202.96.128.68 61.139.2.69



Habe Windows Update gemacht.
NewDotNet deinstalliert.
Noch mal sämtliche Viren- und Malwarescanner drüber laufen lassen.

Allerdings, ob das mit der AOL Software jetzt funktioniert habe ich noch nicht ausprobiert.

Hoffe das es jetzt aber doch schon etwas besser ausschaut. Oder?

Danke noch mal an euch.

#7 @naagnaag

Das sieht gut aus

Eine Frage
Hast du die Vollversion von Escan installiert?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 Hallo paff


Nein, 30 Tage Testversion habe ich.
Warum fragst du?

Grüßle

Und soweit klappt auch wieder alles. Das mit AOL auch.
Danke noch mal an eure Hilfe!!!!

#9

Zitat

naagnaag postete
Hallo paff


Nein, 30 Tage Testversion habe ich.
Warum fragst du?

Grüßle

Und soweit klappt auch wieder alles. Das mit AOL auch.
Danke noch mal an eure Hilfe!!!!

Hatte nur diese beiden Einträge noch nie gesehen
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~2\eScan\TRAYICOS.EXE /App

War nur 'ne Frage
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#10 Ich habe das gleiche Problem, jedoch mit Win 2000.
Bekomme ich den Virus, wie oben beschrieben auch weg?

#11 Mit dem ähnlichen Prinzip aller Wahrscheinlichkeit nach schon. Ich würde dir raten zunächst einmal folgende Tools zu besorgen und sie nach dem herunterladen zu updaten:

HijackThis (Anleitung zu HijackThis-Logs)
http://www.hijackthis.de/downloads/hijackthis_199.zip
CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan-Check + Anleitung
http://virus-protect.org/escan.html

Scanne nun mit den Tools dein System. Erstelle ein eScan- und HijackThis-Log und poste es hier.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#12 Wie ich schon erwähnt habe, habe ich das gleiche Problem mit Win 2000.
Ich habe eben das Updaterollup für SP4.

Nun kommt keine Meldung mehr, bzw. ich kann wieder ins I-Net.
Vielleicht kann sich jemand mit Log File anschauen und mir mitteilen, ob ich das blöde Ding los bin.
Wenn nicht, bitte bitte, eine Anleitung, wie ich es schaffe. Danke !!

Logfile of HijackThis v1.98.2
Scan saved at 16:44:53, on 27.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\WINNT\sllights.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\MOZILLA\MOZILLA\MOZILLA.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\test\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O17 - HKLM\System\CCS\Services\Tcpip\..\{35DCB16D-D673-4685-BDC1-A897DC5849ED}: NameServer = 62.52.50.67 193.189.244.205



Desweiteren habe ich noch ein mit meinem alten Brenner. Weiß nicht, ob das mit dem Virus zusammen hängt. Brenner ist ein Traxdata 2260 Plus. Brennprogramm ist Nero.
CDRW´s kann ich ohne Probleme löschen. Beim Brennen werden die zu brennenden Daten gecached, leider werden sie aber nicht gebrannt, obwohl am Ende steht „Brennvorgang war erfolgreich“

Vielen Dank im Voraus

#13 Bitte nochmal neue Log mit aktueller HijackThis-Version erstellen
http://www.hijackthis.de/downloads/hijackthis_199.zip

#14 danke, für die schnelle Antwort.
ok,werde ich machen. aber warum eigentlich?

#15

Zitat

aber warum eigentlich?

Weil evtl. einige Sachen nicht erkannt werden, die in der Erkennungsroutine der neuen Version jedoch implementiert sind.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser