Hilfe hab problem mit dem IE |
||
|---|---|---|
| #0
| ||
|
12.09.2004, 12:28
Member
Beiträge: 23 |
||
 
|
|
|
|
12.09.2004, 12:36
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo @Harle
#Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #scanne mit dem HijackThis, dann fixe und neustarten: O2 - BHO: (no name) - {B9D6B3C2-09AD-464A-8162-8C55114C808A} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe neustarten ..................................................................................................................... Gehe in die Registry Start<Ausfuehren<regedit <HKEY_LOCAL_MACHINE>Software>Microsoft>Ole aendere den Wert , der da ist : EnableDCOM = "N" auf "Y" -The original entry of this registry key is EnableDCOM = "Y" <HKEY_LOCAL_MACHINE>System> CurrentControlSet>Control>Lsa Doppelklick: aendere den Wert, der da ist auf: hexadecimal default value: restrictanonymous = "dword:00000001" auf "dword:00000000" -The original entry of this registry key is restrictanonymous = "dword:00000000" schliesse die Registry und starte neu .................................................................................................................. Loesche: C:\WINDOWS\System32\wuampd.exe .............................................................................................................. #Lade den "eScan" http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. mfg Sabina Tip: Mache die CriticalUpdates Download and install the fix patches listed below supplied by Microsoft: * Microsoft Security Bulletin MS03-026 * Microsoft Security Bulletin MS04-011 http://www.microsoft.com/info/smart404.asp?404;http://www.microsoft.com/germany/ms/security/sicherheits-cd.mspx ............................................................................................................. WORM_RBOT.EI<wmupdate.exe<this memory-resident worm drops a copy of itself as WMUPDATE.EXE in the Windows system folder. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.09.2004 um 15:48 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.09.2004, 12:56
Member
Themenstarter Beiträge: 23 |
#3
 des hört sich mal nach viel arbeit an .... aber das mit dem host hab ich extra so eingestellt das brauch ich fuer ein programm damit es funktioniert... ich mach mich gleich ma an de arbeit :>bin stecken geblieben ..... kann die wuampd.exe datei net löschen -.- Dieser Beitrag wurde am 12.09.2004 um 14:22 Uhr von Harle editiert.
|
|
|
|
|
|
|
12.09.2004, 14:48
Member
Beiträge: 48 |
#4
Du müsstest als erstes dein Betriebssystem auf den aktuellen Patchstand bringen, sonst haben alle Reparaturversuche überhaupt keinen Sinn, es ist sicherheitstechnisch offen wie ein Scheunentor für jeden Angreifer, der eigentlich längst geschlossene Sicherheitslücken verwenden kann.
Den Rest muss ich erstmal korrigieren, denn: @ Sabina bist du sicher, dass wmupd.exe dasselbe ist wie wmupdate.exe bzw. sich beides auf diesen Rbot-Wurm bezieht? Habe gerade noch mal nachgesehen und das sind ja schon zwei unterschiedliche Namen, daher müsste man erstmal doch genau klären, worum es sich handelt. Dieser Beitrag wurde am 12.09.2004 um 15:01 Uhr von aelfric2 editiert.
|
|
|
|
|
|
|
12.09.2004, 15:15
Ehrenmitglied
Beiträge: 29434 |
#5
Zitat aelfric2 posteteJa, da ist mir ein Fehler unterlaufen..... Es ist nicht der < wmupdate.exe < sondern der <wuampd.exe Das Beste ist, C:\WINDOWS\System32\wuampd.exe mit Kaspersky zu ueberpruefen #Kaspersky http://www.kaspersky.com/remoteviruschk.html Danke fuer den Hinweis (!) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.09.2004 um 15:17 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.09.2004, 15:21
Member
Themenstarter Beiträge: 23 |
#6
jo kaspersky findet was aber ich kanns leider nicht löschen .... und das was auf englisch ist versteh ich nicht (nicht so das ich kein englisch versteh) aber immer wenn ich da was runterlade meint das programm eine datei würde fehlen!!
|
|
|
|
|
|
|
12.09.2004, 15:35
Member
Beiträge: 441 |
#7
@ Harle
Hierbei handelt es sich um den Backdoor.Rbot.gen, siehe http://www.trojaner-board.de/showpost.php?p=71790&postcount=7 Die logische Konsequenz wäre dies http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 Der ganze Thread http://www.trojaner-board.de/showthread.php?p=71796#post71796 __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
12.09.2004, 15:35
Member
Beiträge: 48 |
#8
@ Sabina
Gern geschehen.  Die Wmupd.exe scheint im Moment sehr "populär" zu sein, ich bin mir auch ziemlich sicher, dass das was ähnliches ist.@ Harle WAS findet Kaspersky, der Name wäre wichtig. Meinst du mit dem Runterladen das Windowsupdate? Du brauchst wahrscheinlich erst mal die neueste Version des Update Managers, der müsste in der Liste der Updates mit aufgeführt sein. Alternativ kannst du dir auch das Service Pack 2 herunterladen: http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A falls du DSL hast, wenn du das installierst, bist du quasi auf dem aktuellen Stand und falls Sabina doch recht hat und es sich bei dieser Datei um einen Rbot handelt, solltest du sowieso am besten komplett neu installieren. Edit: Ok, dann hätte ich mein Posting auch gar nicht editieren brauchen. Da stand dasselbe drin wie in Cidres. ;PDieser Beitrag wurde am 12.09.2004 um 15:38 Uhr von aelfric2 editiert.
|
|
|
|
|
|
|
12.09.2004, 15:44
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo @Harle
#Lade den "eScan" http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.09.2004 um 15:46 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.09.2004, 21:45
Member
Themenstarter Beiträge: 23 |
#10
sauber jetzt klappt wieder alles ... hab den ganzen tag dran rumgefummelt .... pc wollte net mehr ins internet und so aber jetzt hab ich glaube alles weggehauen .... hier meine hijack log
Logfile of HijackThis v1.97.7 Scan saved at 21:44:07, on 12.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\System32\syscfg32.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\mIRC\mirc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Kleine\Desktop\HijackThis.exe C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\tftp.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O1 - Hosts: 193.24.255.10 www.pandora.cnpro.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: XM2002® (HKLM) O9 - Extra 'Tools' menuitem: &XM2002® (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1083759445408 O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094991149833 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB693DF3-A1DF-4D8D-9FDF-E428272D62B0}: NameServer = 217.237.151.225 217.237.150.225 (das mit dem host hat was mit nem spiel und einem dazu gehörigem anticheat tool zutun ... ) ich dank euch alle nochmal das ihr mir so gut geholfen habt ... thx^ *EDIT* Hab noch nen prob gefunden ka ob das nur jetzt ist oder morgen weiterhin ist .... als ich gerade auf ein paar spiele server gejoint bin hatte ich einen 999 ping (wo ich normaler weise einen 30 ping habe) ka ob das gerade nur jetzt ist oder weiterhin andauert... wenns weiterhin andauert meld ich mich nochmal!! Wer weiss wodrans liegen kann bitte melden Dieser Beitrag wurde am 12.09.2004 um 22:11 Uhr von Harle editiert.
|
|
|
|
|
|
|
13.09.2004, 00:26
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo @Harle
PC total verseucht....installiere neu !!!!!!! O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe C:\WINDOWS\System32\syscfg32.exe C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\tftp.exe ????????? _____________________________________________________________________ Neuinstallation XP http://8ung.at/chemikers-home/SETUP.html 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen http://www.firebird-browser.de/ 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen http://www.free-av.de/ 10) alle Passworte aendern mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.09.2004 um 00:26 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.09.2004, 00:29
Member
Beiträge: 48 |
#12
Du hättest dir den Tag Arbeit sparen können, denn du hast leider überhaupt nichts erreicht. Nach wie vor hast du aktive Backdoors auf deinem System, unter anderem:
http://www.sophos.de/virusinfo/analyses/trojircboth.html evtl. sogar Blaster, denn du hast offensichtlich immer noch ein ungepatches Windows XP. Bitte arbeite diese Punkte ab und zwar ALLE und in dieser Reihenfolge: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html) 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und war*hier nicht!*-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen Lektüre: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html http://faq.underflow.de/ Edit: Gleichzeitig gepostet und einiges kommt mir da ja ziemlich bekannt vor. Dieser Beitrag wurde am 13.09.2004 um 00:31 Uhr von aelfric2 editiert.
|
|
|
|
|
|
|
13.09.2004, 16:34
Member
Themenstarter Beiträge: 23 |
#13
hi ich habe gerade noch was gecheckt bevor ich mich an die arbeit machen will also ich hab nochmal mit hijack gescannt und dann kam das raus Oo sieht nen bissel mehr nach Schei... aus... ich will net umbedingt formatieren nur den ganzen kram vom pc hauen ...
hier die log : Logfile of HijackThis v1.97.7 Scan saved at 16:32:17, on 13.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\System32\syscfg32.exe C:\WINDOWS\System32\setver32.exe C:\WINDOWS\System32\videosd32.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\WINDOWS\System32\xybkuj.exe C:\WINDOWS\System32\TikTo.exe C:\WINDOWS\System32\winsysi.exe C:\WINDOWS\System32\wmplayer.exe C:\WINDOWS\System32\ntfs16.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\Kleine\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O1 - Hosts: 193.24.255.10 www.pandora.cnpro.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\Run: [Task manager] TikTo.exe O4 - HKLM\..\Run: [Windows Compliant] xybkuj.exe O4 - HKLM\..\Run: [NTFS16] ntfs16.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunServices: [Windows Compliant] xybkuj.exe O4 - HKLM\..\RunServices: [Windows secure] setver32.exe O4 - HKLM\..\RunServices: [Task manager] TikTo.exe O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe O4 - HKLM\..\RunServices: [NTFS16] ntfs16.exe O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKCU\..\Run: [Task manager] TikTo.exe O4 - HKCU\..\Run: [Windows Compliant] xybkuj.exe O4 - HKCU\..\Run: [NTFS16] ntfs16.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunOnce: [Windows secure] setver32.exe O4 - HKLM\..\RunOnce: [Win32 Configuration] videosd32.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] syscfg32.exe O4 - HKCU\..\RunOnce: [Windows secure] setver32.exe O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: XM2002® (HKLM) O9 - Extra 'Tools' menuitem: &XM2002® (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1083759445408 O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094991149833 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB693DF3-A1DF-4D8D-9FDF-E428272D62B0}: NameServer = 217.237.151.225 217.237.150.225 |
|
|
|
|
|
|
13.09.2004, 17:22
Member
Beiträge: 441 |
#14
@ Harle
Zitat ich will net umbedingt formatieren nur den ganzen kram vom pc hauenSorry, aber das ist nicht relevant. Momentan bist du eine Gefahr für dich selbst und andere I-net Benutzer. Trenne bitte schnellstmöglich deine Virenschleuder, von System kann man hier leider nicht mehr sprechen, vom Netz. Die Malware auf dein System wird von Tag zu Tag mehr! C:\WINDOWS\System32\syscfg32.exe C:\WINDOWS\System32\setver32.exe C:\WINDOWS\System32\videosd32.exe C:\WINDOWS\System32\xybkuj.exe C:\WINDOWS\System32\TikTo.exe C:\WINDOWS\System32\winsysi.exe C:\WINDOWS\System32\wmplayer.exe C:\WINDOWS\System32\ntfs16.exe Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
13.09.2004, 19:57
Member
Themenstarter Beiträge: 23 |
#15
sauber hehe ... hätte net gedacht das es so schlimm ist.... also hab jetzt mal formatiert (30gb voller wichtigen dateien wech ) .. aber ich denke war auch besser so , denn ihr wisst ja was gut fuern pc ist :>
Hier noch ne log file .... bitte sagt mir ob alles anständig aussieht und ob ich noch was verbessern kann Logfile of HijackThis v1.98.2 Scan saved at 20:44:34, on 13.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\wupda32.exe C:\WINDOWS\System32\nmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\dllhost.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE C:\WINDOWS\System32\msiexec.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [win update] wupda32.exe O4 - HKLM\..\Run: [Microsoft Software Update] nmon.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [WIN USB 2.0] winusb.exe O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\RunServices: [win update] wupda32.exe O4 - HKLM\..\RunServices: [Microsoft Software Update] nmon.exe O4 - HKLM\..\RunServices: [WIN USB 2.0] winusb.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{0BEDB~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{0BEDB~1\reboot.ini O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [win update] wupda32.exe O4 - HKCU\..\Run: [Microsoft Software Update] nmon.exe O4 - HKCU\..\Run: [WIN USB 2.0] winusb.exe O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095097813232 O17 - HKLM\System\CCS\Services\Tcpip\..\{09DB1971-61D6-4A29-9BAA-F62EB943105D}: NameServer = 217.237.151.225 217.237.150.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{09DB1971-61D6-4A29-9BAA-F62EB943105D}: NameServer = 217.237.151.225 217.237.150.225 Dieser Beitrag wurde am 13.09.2004 um 20:48 Uhr von Harle editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Hab schon Ad aware , spybot S&D und stinger drüber laufen lassen...
hier meine hijack log:
Logfile of HijackThis v1.97.7
Scan saved at 12:14:32, on 12.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\WINDOWS\System32\wuampd.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Lavasoft\Ad-aware 6\UNWISE.EXE
C:\Programme\Lavasoft\Ad-aware 6\UNWISE.EXE
C:\Dokumente und Einstellungen\Kleine\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O1 - Hosts: 193.24.255.10 www.pandora.cnpro.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {B9D6B3C2-09AD-464A-8162-8C55114C808A} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: XM2002® (HKLM)
O9 - Extra 'Tools' menuitem: &XM2002® (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1083759445408
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB693DF3-A1DF-4D8D-9FDF-E428272D62B0}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{095825B8-FBAC-4FF3-B7B8-C6DF687F7546}: NameServer = 62.225.244.197 194.25.2.129