Home » Viren, Trojaner & Malware Forum » Trojanische Pferd TR/LowZones.A.2 » Themenansicht

Trojanische Pferd TR/LowZones.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.04.2005, 20:49
ANdreHeinz
...neu hier

Beiträge: 4
#106 Ich habe das auch und kaum einen Plan bitte helft mir.


Logfile of HijackThis v1.99.1
Scan saved at 20:47:33, on 05.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\winsupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winsupdater.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Deathrow\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - (no file)
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\WINDOWS\DOWNLO~1\xtoolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://home.dworx.org/ax/loud.chm::/bridge-c11.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112454594296
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://toolbar.dworx.org/toolbar/xt.chm::/xtoolbar.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01F88EAF-B1C0-45A1-AA0E-04FE9B734FF7}: NameServer = 195.50.140.252 145.253.2.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{01F88EAF-B1C0-45A1-AA0E-04FE9B734FF7}: NameServer = 195.50.140.252 145.253.2.75
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
Seitenanfang Seitenende
05.04.2005, 22:41
Nixoratio
...neu hier

Beiträge: 5
#107 Hallo,

vielen, vielen Dank. Scheint wieder sauber zu sein!

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:37:58, on 05.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Bischof Nixoratio\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112731451156
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Gruß, Nixoratio
Seitenanfang Seitenende
06.04.2005, 00:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#108 Hallo@ANdreHeinz

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)

Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
# In the right panel, locate and delete the entry:
MicroSoft Windows Updater = "winsupdater.exe"


HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
# In the right panel, locate and delete the entry:
MicroSoft Windows Updater = "winsupdater.exe"

HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
# In the right panel, locate and delete the entry:
MicroSoft Windows Updater = "winsupdater.exe"


HKEY_LOCAL_MACHINE>Software>Microsoft>OLE
# In the right panel, right-click on EnableDCOM and choose Modify
# In the text box under Value Date, type Y


HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Control>LSA.
# In the right panel, right-click on Restrictanonymous and choose Modify.
# In the text box under Value data: type 0.

# Close Registry Editor.


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - {CC8C8F4F-F2E8-404B-A43D-5CC57876A008} - (no file)
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\WINDOWS\DOWNLO~1\xtoolbar.dll
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe<--LowZones-M/WORM_RBOT.AXM
O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://home.dworx.org/ax/loud.chm::/bridge-c11.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {CFAC00A4-E9E7-4A40-97A4-1E888B3DF0A6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://toolbar.dworx.org/toolbar/xt.chm::/xtoolbar.cab

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\Bootios1.exe
C:\Windows\Downloaded Program Files\xtoolbar.dll
C:\WINDOWS\System32\outlookupdate3778.exe
C:\WINDOWS\System32\outlookupdate 3779.exe
C:\rell.REG
C:\mtu.bat
C:\re12.reg
C:\re11.reg
C:\WINDOWS\System32\msnupdate.exe
C:\UNMT.EXE
C:\WINDOWS\System32\mspd.exe
C:\WINDOWS\System32\winsupdater.exe

PC neustarten

C:\Dokumente und Einstellungen\Deathrow\Lokale Einstellungen\Temporary Internet Files\Content.IE5\<---alles leeren (lasse nur die index.dat)

This malware exploits known vulnerabilities in Windows . Download and install the following fix patches supplied by Microsoft:
* Microsoft Security Bulletin (MS04-011)
* Microsoft Security Bulletin (MS030-026)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

•BitDefender Scan
http://www.bitdefender.de/scan/licence.html
www.bitdefender.com/scan/Msie/index.php

--------------------------------------------------------------------------

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 00:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#109

Zitat

Nickyy postete
Hi Sabina,

4. nach der deinstallation von antivir (norton habe ich auch, muss ich das auch deinstallieren, oder geht das auch so?) habe ich f-prot im abgesicherten modus gestartet und einen scan duchgeführt. dieser zeigte mir einige infizierte dateien an, die das programm aber nicht löschen konnte.

ich hoffe, dass du mir weiterhelfen kannst,

vielen dank mfg thx

n.iklas


Hallo@

Leider sitze ich nicht am PC und kann nicht nachsehen,,,ich bin schon auf deine Mithilfe angewiesen ;)

Du musst mir das Log von dem Scann (die infizierten Datein) posten

------------------------------------------------------------------

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

•BitDefender Scan
http://www.bitdefender.de/scan/licence.html
www.bitdefender.com/scan/Msie/index.php

Berichte dann auch von diesen Onlinescanns, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 00:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#110

Zitat

Hannibal78 postete
Hallo Sabina !
ich habe da leider noch ein paar per e-scan gefunden

File F:\WINDOWS\system32\msnmsgr.exe infected by "Backdoor.Win32.SdBot.xa" Virus. Action Taken: No Action Taken.

Tue Apr 05 16:18:26 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Tue Apr 05 16:18:27 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!!
Tue Apr 05 16:18:27 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Tue Apr 05 16:18:27 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

File F:\Eigene Dateien\Download wichtig\burn4free_setup.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken.

Danke abermals im voraus !


Loesche im abgesicherten Modus-->F:\WINDOWS\system32\msnmsgr.exe

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

F:\Eigene Dateien\Download wichtig\burn4free_setup.exe (solltest du loeschen--> ist Spyware)

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 15:26
rabenkrähe
...neu hier

Beiträge: 3
#111 Hallo.

Mit der Meldung, der Trojaner lowzones.A.2 sei eingetroffen fing es an, jetzt läuft rein gar nicht mehr, so daß ich also nichtmal einen scrrenshot machen kann.
Die Maus ist nämlich lahmgelegt, und die Tastaturmaus gleich mit.
Und damit es richtig Spaß mach gleichauf allen vier Systemen, die ich auf meinen drei Festplatten habe.
Wie ist sowas möglich, und was kann ich jetzt machen?
Ich kann ja nichtmal ans INett oder das System scannen, weil ich keinerlei Zugang mehr durch die Mausausfälle haben?

Danke

rabenkrähe
Seitenanfang Seitenende
06.04.2005, 15:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#112 Hallo@rabenkrähe

versuche eine Systemwiederherstellung zu machen (eventuell vom abgesicherten Modus aus...)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2005, 20:44
heiko1979
...neu hier

Beiträge: 1
#113 Hallo,

Ich habe auch den Virus Trojanisches Pferd TR/LowZonesAP

Logfile of HijackThis v1.99.1
Scan saved at 20:41:49, on 06.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\popupkill.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nvscv32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\47A0.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\heiko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.findin.org/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.findin.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cixity.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.findin.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: NewsStand Toolbar - {6E94ACD5-2C6A-48AC-84EF-A4DE746D385F} - C:\Programme\NewsStand\Reader\NSIEToolbar.dll
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\Run: [MasterBoot Switch] popupkill.exe
O4 - HKLM\..\Run: [FireWire Service] nvscv32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [mvatwlgd] C:\WINDOWS\mvatwlgd.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\heiko\LOKALE~1\Temp\sahagent-cdt1004.exe run
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] pcp.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe
O4 - HKLM\..\RunServices: [MasterBoot Switch] popupkill.exe
O4 - HKLM\..\RunServices: [FireWire Service] nvscv32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunOnce: [MasterBoot Switch] popupkill.exe
O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MasterBoot Switch] popupkill.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\RunOnce: [MasterBoot Switch] popupkill.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: X-Diver - {CE5D2BAD-61A3-46FA-BB22-E5BA59DE26B3} - C:\WINDOWS\System32\diver32.exe (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {C5869C6C-F1FD-41BD-9DC0-332E258A3691} - http://www.telecoin.de/ActiveInst.cab
O16 - DPF: {DE726BC4-5F2F-4984-B28B-3D6D76724F64} (TSVoiceC Class) - http://download.tscash.com/static/TSVc.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://195.124.234.138/install/StarInstall.ocx
O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.4netmedia.com/suninfoconnect.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Seitenanfang Seitenende
06.04.2005, 22:05
ANdreHeinz
...neu hier

Beiträge: 4
#114 Also bei mir scheint alles weg zuseien danke.

Wenn ich den PC mal neu mache. Welches update muß ich da laden?
Seitenanfang Seitenende
07.04.2005, 00:52
Jerec
...neu hier

Beiträge: 1
#115 Hallo erstma, ich hab mir auch diesen "netten" Virus eingefangen, hab auch schon versucht den loszuwerden in dem ich die Systemwiederherstellung deaktiviert habe und meinen Virenscanner "Antivir Personal" suchen lassen.

Also diesen "TR/LowZones.AP"; scheint bei mir auch eine Verbindung zu "www.ostra-mar.com.ar" zu haben, denn die Windows gibt mir eine Meldung das ein Programm eine Internetverbindung angefordert hat und gibt mir meine Liste mit den Verbindungen, und all das erst nachdem ich diesen Virus auf meiner HDD hatte.

Benutze nicht den IE, sondern Firefox, falls das etwas zur Sache tut.

Hier is das Hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 00:38:35, on 07.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Illuminatus\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098482731609
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB306AD6-D6DA-4FE3-9DBC-E831CC9BA61C}: NameServer = 217.237.149.225 217.237.151.97
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Icafod32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe



Bedanke mich schonmal im vorraus für Hilfe

-Jerec
Dieser Beitrag wurde am 07.04.2005 um 00:58 Uhr von Jerec editiert.
Seitenanfang Seitenende
07.04.2005, 01:03
rabenkrähe
...neu hier

Beiträge: 3
#116 Hallo.

In einem kurzen, lichten Maus-Moment hab ich den scan hinbekommen, wie bekomme ich den nun mit der TastaturMaus markiert und hier reingestellt?

rabenkrähe
Seitenanfang Seitenende
07.04.2005, 12:12
rabenkrähe
...neu hier

Beiträge: 3
#117 Logfile of HijackThis v1.99.1
Scan saved at 03:22:02, on 07.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\Dit.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\lotus\organize\easyclip.exe
C:\lotus\smartctr\smartctr.exe
C:\lotus\smartctr\suitest.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Dokumente und Einstellungen\Jürgen Andrzejewski.1IQ9KDPVJ7CBWFY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Outlook Express\msimn.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [System Setup] rpcxcmod.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\TEMP\dip.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Distributed Link Transfer Server] mshl32.exe
O4 - HKLM\..\Run: [Windows secure] setver32.exe
O4 - HKLM\..\Run: [ScManager] scman.exe
O4 - HKLM\..\Run: [FireWire Driver] samx.exe
O4 - HKLM\..\Run: [Windows Update AutoUpdate Client Product] wuauct.exe
O4 - HKLM\..\Run: [Microsoft Update Agent] muamgr.exe
O4 - HKLM\..\Run: [VCqf] C:\WINDOWS\apfkil.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\RunServices: [System Setup] rpcxcmod.exe
O4 - HKLM\..\RunServices: [Distributed Link Transfer Server] mshl32.exe
O4 - HKLM\..\RunServices: [Windows secure] setver32.exe
O4 - HKLM\..\RunServices: [ScManager] scman.exe
O4 - HKLM\..\RunServices: [FireWire Driver] samx.exe
O4 - HKLM\..\RunServices: [Windows Update AutoUpdate Client Product] wuauct.exe
O4 - HKLM\..\RunServices: [Microsoft Update Agent] muamgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Setup] rpcxcmod.exe
O4 - HKCU\..\Run: [Distributed Link Transfer Server] mshl32.exe
O4 - HKCU\..\Run: [FireWire Driver] samx.exe
O4 - HKCU\..\Run: [ScManager] scman.exe
O4 - HKCU\..\Run: [Microsoft Update Agent] muamgr.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\RunServices: [Microsoft Update Agent] muamgr.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Startup: Lotus Schnellstart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Startup: Lotus SmartCenter.lnk = C:\lotus\smartctr\smartctr.exe
O4 - Startup: Lotus SuiteStart.lnk = C:\lotus\smartctr\suitest.exe
O4 - Global Startup: ALF-Reminder.lnk = C:\Programme\ALFBanCo\Common\AlfReminder.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: RAID Manager.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094235856045
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ScManager (USBFire) - Unknown owner - C:\WINDOWS\System32\scman.exe" -netsvcs (file missing)
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe
Seitenanfang Seitenende
07.04.2005, 12:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#118 Hallo@heiko1979

Dein PC ist VOELLIG VERSEUCHT. Achtung! Er besteht nur aus Wuermern/Backdoors.

Nimm bitte sofort diese Virenschleuder aus dem Netz und formatiere
Was tun bei Kompromittierung des Systems?
http://oschad.de/wiki/index.php/Kompromittierung
http://virus-protect.org/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2005, 12:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#119 Hallo@ANdreHeinz

Zitat

Also bei mir scheint alles weg zuseien danke.
Wenn ich den PC mal neu mache. Welches update muß ich da laden?


Poste bitte das neue Log vom HijackThis.
Und wenn du neu aufsetzen solltest, dann lade SP2 (WindowsUpdates)

http://virus-protect.org/

Wie kann ich das Service Pack 2 installieren?
Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.
[A] Installation über Windows Update (Internet)

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

Installation von CD
1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.
Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2005, 12:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#120 rabenkrähe

Keine Chance.....

Dein PC ist VOELLIG VERSEUCHT. Achtung! Er besteht nur aus Wuermern/Backdoors.

Nimm bitte sofort diese Virenschleuder aus dem Netz und formatiere
Was tun bei Kompromittierung des Systems?
http://oschad.de/wiki/index.php/Kompromittierung
http://virus-protect.org/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: