'FLAG' in Windows Startup

#0
06.09.2004, 15:52
...neu hier

Beiträge: 10
#1 Mein Spamprogramm meldet dauern, dass ein Programm namens 'Flag' sich in die Autostart (Startup Items - Programme, die beim Autostart gestartet werden) schreibt. Leider kann ich das nicht entfernen und weiss auch nicht, welche Anwendung das dauern versucht. Sobald ich es entferne, dauert es keine Sekunde und es ist wieder da...

Kann hierzu jemand etwas sagen?
Kommt das evtl. von Windows?

Danke
Seitenanfang Seitenende
06.09.2004, 17:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Downloadlink:
http://www.downloads.subratam.org/hijackthis.zip
Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2004, 20:29
...neu hier

Themenstarter

Beiträge: 10
#3 Scan saved at 20:26:43, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CPal\CPBrWtch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Proxomitron4.5-S-1.59\Proxomitron.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Install\Progs\StayAlive29\StayLive.exe
d:\programme\ESM2\SAgentNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
d:\programme\ESM2\EBRR.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
d:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\Spy Sweeper32\SpySweeper.exe
C:\WINDOWS\explorer.exe
D:\Install\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R3 - Default URLSearchHook is missing
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (d:\Programme\Netscape\Users\aly\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Cookie Pal] "C:\Programme\CPal\CPBrWtch.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: Proxomitron.lnk = Proxomitron4.5-S-1.59\Proxomitron.exe
O4 - Startup: StayLive.exe.lnk = D:\Install\Progs\StayAlive29\StayLive.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{32E9525E-F08F-4F91-9975-0BEA356F0FBA}: NameServer = 217.237.151.97 194.25.2.129
Seitenanfang Seitenende
06.09.2004, 23:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @Winf

fixe mit dem HijackThis, dann neustarten

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Cookie Pal] "C:\Programme\CPal\CPBrWtch.exe" (Was ist das ?....)
O4 - Startup: StayLive.exe.lnk = D:\Install\Progs\StayAlive29\StayLive.exe (Was ist das ???)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe (file missing)

NEUSTARTEN

#Suche unter <Programmen<, ob du dieses "Flag" deinstallieren kannst.
Im hIjackThis sehe ich nichts unter diesem Namen.....

#Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp
Poste danach Virus Log Information.

#AdAware (free)
http://www.lavasoft.de/support/download/
#Search&Destroy
http://www.safer-networking.org/de/download/index.html


mfg
Sabina



D:\Install\Progs\StayAlive29\StayLive.exe (was ist das ?)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.09.2004 um 00:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.09.2004, 00:07
...neu hier

Themenstarter

Beiträge: 10
#5

Zitat

Sabina postete
D:\Install\Progs\StayAlive29\StayLive.exe (was ist das ?)
Das ist ein Tool, das jede par Minuten ein Paket an einen Timeserver schickt um
1) die Systemuhrzeit mit dem Timeserver abzugleichen
2) falls die Internetverbindung abrechen soll (Telekom schmeisst einen nach 24 Stunden raus), das System das mitkriegt und sich automatisch wieder anmeldet

ich werde Morgen Abends deine Vorschlaege mal durchfuehren.

Danke erst mal.

Gute Nacht
Dieser Beitrag wurde am 07.09.2004 um 00:08 Uhr von Winf editiert.
Seitenanfang Seitenende