internet explorer / dso exploit / windows xp lahmt / reset erzwungen

#0
24.09.2004, 09:52
...neu hier

Beiträge: 8
#1 Hallo !

Ich hab das Problem das am Firmen Pc einer Kollegin der Pc sehr lahmt, dass sich nicht mal mehr der Taskman starten lässt.
Ich bekomm zwar die grüne Systemanzeige in der Taskbar, das wars dann auch schon. je öfter ich taskman starte, desto öfter kommt die systemanzeige unten rechts.

Was hab ich getan ?

-Autostart einträge überprüft, auf unnötige speicherfressende Einträge
-Spybot S&D
-AdAware Se
-CwsShredder
-Kaspersky Av
-Av Personal
-Hintergrundbild gecheckt,Screensaver

alles vergebens, sobald es soweit ist, das er lahmt, lahmt er total, Reset gezwungen.
-------------------------------------------------
im Taskmanager :
iexplore : rund um die 40.836 k benötigt,
explorer : rund um die 17.492 k benötigt,
svchost.exe : rund 15.588 k benötigt.
-------------------------------------------------
permanente Plattenzugriffe hab ich nicht.
-------------------------------------------------
trotz cpu auslastung : leerlaufprozess auch bei 95 % / speicher 20k,
hab ich noch diese symtome
-------------------------------------------------
sobald er lahmen anfängt ist es aus kann ich keine programme mehr starten, geschweige von taskmanager, oder sogar beenden von windows geht nicht mehr. muss resetten.
-------------------------------------------------
Spybot S&d fandt zwar einen eintrag mit "Dso Exploit" und nach abbruch mit fehlermeldung " Fehler während der Überprüfung, Xabot (ungültiger Datentyp für ") und darunter das dso exploid, das ich schon im abgesicherten Modus, normalen modus zu eleminieren.
-------------------------------------------------

Mein HijackThis log :
-------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 10:00:26, on 24.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\WinTask\Bin\SchedInd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\vpc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\kohlberger\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WTIndicator] C:\Programme\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.1237037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3

---------------------------------------------------------------------------
Vielen Dank im Voraus !

Gruss !Mr.Bong
Dieser Beitrag wurde am 24.09.2004 um 10:01 Uhr von mrbong editiert.
Seitenanfang Seitenende
24.09.2004, 12:29
Moderator

Beiträge: 7795
#2 Diese Datei im abgesicherten Modus bitte umbenennen :
C:\WINDOWS\System32\vpc32.exe

und das fixen:

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

Dann mal www.windowsupdate.com besuchen und alle wichtigen Updates installieren.

Es wundert mich, das Kaspersky die Datei nicht als infiziert gemeldet hat, teste die umbenannte vpc32.exe bitte hier:
http://www.kaspersky.com/scanforvirus und poste das Ergebniss

Nachtrag: die "Xabot" Meldung ist ein Fehlalarm von Spybot.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.09.2004, 14:10
...neu hier

Themenstarter

Beiträge: 8
#3 Hallo ;)

Zitat


Diese Datei im abgesicherten Modus bitte umbenennen :
C:\WINDOWS\System32\vpc32.exe
Abgesichert wurde die Datei nicht gefunden.
Bin normal Hochgefahren, datei umbenannt,

Zitat

und das fixen:

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
einträge per hijackthis gelöscht,ok.

Zitat

Es wundert mich, das Kaspersky die Datei nicht als infiziert gemeldet hat, teste die umbenannte vpc32.exe bitte hier:
http://www.kaspersky.com/scanforvirus und poste das Ergebniss
Der online Kaspersky erkannte tatsächlich einen virus.
Hab die Datei gelöscht. (vpc32.exe)
auszug was google zu dem sagt :
"wenn die vpc.exe aktiv ist, wird eine Prüfung bei Kaspersky unmöglich, da zwar andere i-Anwendungen (z.B. googeln) aber eben nicht die Kaspersky.com laufen"


Zitat

Dann mal www.windowsupdate.com besuchen und alle wichtigen Updates installieren.
Beim ersten Versuch hängte der Pc sich wieder auf - Reset - Reboot - nochmal versucht, alles geklappt !

--------------------------------------------------------------------------

Nachtrag : Bei Software hab ich nochdiese Einträge gefunden :
Outlook Tools by Hotbar
(RtlSetup) weis nicht was das ist
Shopper Reports by Hotbar
Webtools by Hotbar

aber Hotbar Sachen würde ich schon gerne deinstallieren, bloss wenn ich sie so deinstalliernen will, geht es leider net ;)

--------------------------------------------------------------------------

Leider wieder dasselbe, sogar nach den updates, hängt wieder alles, reset gezwungen , hier das neue logfile :

Logfile of HijackThis v1.97.7
Scan saved at 10:07:40, on 27.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Dokumente und Einstellungen\kohlberger\Desktop\HijackThis.exe
C:\WINDOWS\System32\vpc32.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096266106389
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.1237037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3


Kaspersky sagt nun wieder :

Attention!
Kaspersky Anti-Virus has detected a virus in the file you have submitted.

Scanned file: vpc32.exe

vpc32.exe - packed with PE_Patch.Morphine
vpc32.exe - packed with Morphine
vpc32.exe - packed with UPX
vpc32.exe - infected by Backdoor.Win32.Rbot.gen

--------------------------------------------------------------------------

Nun könnte ich wieder alles von vorn machen, aber daher dass er nicht weggeht sondern wiederkommt, unnütz ;)

Danke für die Hilfe


Hoffe ich kann mich darauf verlassen, das dieser Beitrag nicht untergeht, da man ihn nicht selber nach oben antworten kann ;)


edit :// oh mein gott, ich hoffe ihr könnt mir wirklich helfen den zu beseitigen, ohne neu aufzusetzen ;)

Hab grad das gefunden auf den Virus den ich hier am FirmenPc hab :


http://www.trojaner-board.de/showpost.php?p=71796&postcount=9

Auszug :
Eine Bereinigung durch AV Scanner ist imho nicht sinnvoll!

http://oschad.de/wiki/index.php/Virenscanner

Die sicherste Lösung wäre ein Neuaufsetzen deines Systems, um wieder einen vertrauenswürdigen Zustand herzustellen.

http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000


---------------------------------------------------------------------------

da es anscheinend nicht machbar ist, auch laut symantec net,
die bieten zwar lösung an funzt aber auch net,
hab ich nun mal folgendes gemacht :

1. Abgesicherter Modus
2. Datei nun doch gefunden - gelöscht.
3. neue Bitmap erstellt, irgendwas gezeichnet
4. Die Bitmap auf Vpc32.exe umbenannt
5. und attribute schreibgeschützt gesetzt
6. Die Vpc32.exe auch auf vpc.exe kopiert
7. Neu gestartet.
--------------
Resultat :
am anfang seh ich nun das er die vpc32.exe laden will (dos fenster)
geht dann aber weg.

Test :
siehe da, ich kann auf einmal auch auf den taskmanager zugreiffen.
(wurde mir immer verwährt)
ob nun endlich wieder zu arbeiten ist , werde ich nun wieder mal testen ;)

--------------------------------------------------------------------------
Aktuellste Hijack log :

Logfile of HijackThis v1.97.7
Scan saved at 10:52:49, on 27.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\kohlberger\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096266106389
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.1237037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3

---------------------------------------------------------------------------[/b]
Dieser Beitrag wurde am 27.09.2004 um 10:56 Uhr von mrbong editiert.
Seitenanfang Seitenende
30.09.2004, 08:12
...neu hier

Themenstarter

Beiträge: 8
#4 ich glaub ich werd den pc neu aufsetzten , was anderes bleibt mir glaub ich nicht mehr übrig.

Hab nun fast alles durch, bis auf unbekanne virenscanner oder so die ich net kenne.

lass jetzt noch trendmicro housecall durchlaufen.


hat auch nix gefunden, trotzdem steht er nach ca. 15-30 minuten und geht nix mehr weiter, reset gezwungen.

was da wieder drauf ist unvorstellbar ;)



Logfile of HijackThis v1.97.7
Scan saved at 09:51:39, on 30.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Dokumente und Einstellungen\kohlberger\Desktop\Neuer Ordner\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096266106389
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.1237037037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{04D6DB96-82CC-4B91-BEA6-D102986786FC}: NameServer = 195.58.160.2,195.58.161.3

letzte logfile dieses computers, warte noch bis heute nachmittag, vielleichtfällt euch noch was auf ansosnten Format c:


vielen dank


hier noch der taskman
http://www.k-team.at/taskman.JPG
gruss !Mr.Bong
Dieser Beitrag wurde am 30.09.2004 um 10:55 Uhr von mrbong editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: