tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.11.2004, 11:25
Member
Beiträge: 21 |
||
|
||
07.11.2004, 15:37
...neu hier
Beiträge: 4 |
#137
hi allerseits
hatte den agobot-wurm am pc, der zwar von antivir gefunden aber nicht isoliert werden konnte. darauf hab ich die escan-killbox prozedur gemacht und auch drei infizierte dateien löschen können: MSLti64.exe msmin32.exe winhlpp32.exe (alle drei im system32-ordner) jetzt kämpfe ich aber mit dem hijackthis-logfile, da ich nicht weiß, was ich "checken" soll. so schaut das log aus: Logfile of HijackThis v1.98.2 Scan saved at 15:28:12, on 07.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\Programme\Philips\PSA2\skin\QveCplSk.EXE E:\Programme\AVPersonal\AVGNT.EXE E:\Programme\Plextor\PlexTool.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\killbox\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\RECYCLER\bin376.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QveCtl2Tray] E:\Programme\Philips\PSA2\skin\QveCplSk.EXE E:\Programme\Philips\PSA2\skin O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PlexTools Professional.lnk = E:\Programme\Plextor\PlexTool.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://surovyirap.nm.ru/index.chm::/vmmon32.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?998473287876 O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/sj/en/check/qdiagh.cab?322 kann mir da jemand helfen? danke schon im voraus, felix |
|
|
||
07.11.2004, 16:08
Ehrenmitglied
Beiträge: 29434 |
#138
Hallo@felixled
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\RECYCLER\bin376.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\OUTPOS~1.0\trash.exe (file missing) (HKCU) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://surovyirap.nm.ru/index.chm::/vmmon32.exe O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/sj/en/check/qdiagh.cab?322 neustarten Oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< kopiere rein: C:\RECYCLER\bin376.dll PC neustarten suche und loesche: <vmmon32.exe <evewntuell noch eine vmmon32.dll #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren< reinschreiben : cleanmgr #Click:Temporary Internet Files, O.K #Click:Temporary Files, O.K Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.11.2004 um 16:13 Uhr von Sabina editiert.
|
|
|
||
07.11.2004, 16:24
Moderator
Beiträge: 7805 |
#139
Zitat ich hätte da nochmal eine frage...Die kannst du loeschen oder aufbewahren. In dem Ordner sind sie auf jeden fall ungefaehrlich. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.11.2004, 16:32
...neu hier
Beiträge: 4 |
#140
danke für die tipps!
hab die liste mal durchgearbeitet, ich hoffe es funktioniert jetzt. eine frage noch: woher weißt du, wenn du die hijackthis-logdatei siehst, welche einträge du checken musst und was du dann löschen musst? ich fürchte, der wurm wird mich noch öfter plagen... |
|
|
||
07.11.2004, 18:35
Ehrenmitglied
Beiträge: 29434 |
#141
Hallo@felixled
Poste das neue log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.11.2004, 21:08
...neu hier
Beiträge: 4 |
#142
Hi Sabina!
So sieht mein HiJackThis-Log nach der prozedur aus: Logfile of HijackThis v1.98.2 Scan saved at 21:06:39, on 07.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\Philips\PSA2\skin\QveCplSk.EXE E:\Programme\AVPersonal\AVGNT.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\Programme\Plextor\PlexTool.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\ledi\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QveCtl2Tray] E:\Programme\Philips\PSA2\skin\QveCplSk.EXE E:\Programme\Philips\PSA2\skin O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PlexTools Professional.lnk = E:\Programme\Plextor\PlexTool.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?998473287876 schaut doch ganz gut aus, oder? bye, felix |
|
|
||
07.11.2004, 23:15
Ehrenmitglied
Beiträge: 29434 |
#143
Hallo@felixled
Dein Log saehe noch viel besser aus, wenn du den IE aktualisieren wuerdest #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 und die WindowsUpdates machen: #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php #Alternativbrowser zum IE (stelle unter "Option" deine Startseite ein) Firefox http://www.mozilla.org/products/firefox/index.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.11.2004 um 23:17 Uhr von Sabina editiert.
|
|
|
||
08.11.2004, 14:50
...neu hier
Beiträge: 4 |
#144
naja, windows updates sind so eine sache, da wir nur "geborgte" windowsversionen besitzen lässt microsoft uns nicht service packs installieren. und den IE möchte ich eigentlich nicht benutzen, da bleib ich lieber bei firefox ;) auf jeden fall vielen dank für alle mühen rund um die viren!
mfg, felix |
|
|
||
08.11.2004, 14:59
Ehrenmitglied
Beiträge: 29434 |
#145
Hallo@felixled
Besorge dir eine legale XP (!) In den heutigen Zeiten (Viren... agobot-wurm) ist das wichtig. Lade inzwischen (ohne Problem) #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 ohne Problem: #Update Pack XP SP1 Version 1.8 - Deutsch...ueber DOS http://download.winboard.org/downloads.php?release_id=649 Dann gehe in die WindowsUpdates und lade alle CriticalUpdates (alles ausser, was SP und SP1 ist) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.11.2004 um 15:00 Uhr von Sabina editiert.
|
|
|
||
08.11.2004, 18:19
...neu hier
Beiträge: 1 |
#146
Logfile of HijackThis v1.98.2
Scan saved at 18:00:48, on 08.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\mirc\mirc.exe C:\bnc-mirc\mirc.exe C:\Programme\eMule\emule.exe C:\Programme\Opera\opera.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\MARIO-~1\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader Speed Launch.lnk = ? O4 - Global Startup: DSLMON.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097766005560 O17 - HKLM\System\CCS\Services\Tcpip\..\{8DAF87E7-7961-41D0-87BC-C3A8088E062E}: NameServer = 217.237.150.141 217.237.150.97 help please danke im vorraus Dieser Beitrag wurde am 09.11.2004 um 11:29 Uhr von Sabina editiert.
|
|
|
||
08.11.2004, 19:33
...neu hier
Beiträge: 4 |
#147
so, hoffe nun ist alles ok... ???
Logfile of HijackThis v1.98.2 Scan saved at 19:34:58, on 08.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\system32\ctfmon.exe C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\abc\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{AEFAB768-F49A-4C0C-9E51-6E4644D36A00}: NameServer = 217.237.151.225 217.237.150.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA8AEAD-7616-4187-9E31-31FA2673711A}: NameServer = 192.168.120.252,192.168.120.253 |
|
|
||
09.11.2004, 11:00
Ehrenmitglied
Beiträge: 29434 |
#148
Hallo@blub
Du postest einfach so dein Log...ohne irgendwas dazu zu schreiben.... W32/Rbot-NY verbreitet sich über verschiedene Betriebssystem-Schwachstellen und über Netzwerkfreigaben, die durch einfache Kennwörter geschützt sind. Über die Backdoor-Komponenten kann ein Angreifer den infizierten Computer steuern und verschiedene Funktionen starten, u.a.: Speichern von Tastenfolgen Distributed-Denial-of-Service-Attacken Packet-Sniffing Remote-Login Erstellen von Video-Aufnahmen Dateiübertragung Proxyserver Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Gehe in die Registry Start<Ausfuehren<regedit loesche rechts in der Registry folgende Eintraege: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ CRC Value Verifier = "crsss64.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ CRC Value Verifier = "crsss64.exe" HKCU\Software\Microsoft\OLE\ CRC Value Verifier = "crsss64.exe" #Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss64.exe [W32/Rbot-NY] O4 - Global Startup: Adobe Reader Speed Launch.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) neustarten #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\crsss64.exe PC neustarten Deinstalliere deine Virenscanner fuer 15 Tage und lade: #eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #klicke auf: awn2k3e.exe (eScan) und scanne. #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php ___________________________________________________ Dann poste das neue Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.11.2004 um 11:17 Uhr von Sabina editiert.
|
|
|
||
09.11.2004, 11:28
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.11.2004, 12:00
...neu hier
Beiträge: 3 |
#150
Hallo Sabina,
erstmal großes Lob für die Mühe, die Du hier aufwendest! Es gibt doch noch nette Menschen ;-) Ich will Deine Mühe nicht ausnutzen, aber da auch ich den Trojahner "TR/DLDR Small WV OR" soeben mit Antivir entdeckte würde ich Dich bitten, doch einmal einen Blick auf die Hijacklog zu werfen! Antivir hat den Trojahner wohl gelöscht. Schätze mal unter "R1" ist was faul! "017" kommt mir aber auch komisch vor. Aber schau bitte mal selbst: Logfile of HijackThis v1.98.2 Scan saved at 11:55:08, on 09.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\KMaestro\KMaestro.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\System32\cmd.exe C:\Programme\KMaestro\WTS_KEY.EXE C:\WINDOWS\update\start.exe C:\WINDOWS\update\WinUpdate.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Dokumente und Einstellungen\Jorgy\Desktop\HijackThis.exe C:\PROGRA~1\MICROS~2\Office10\WINWORD.EXE C:\WINDOWS\update\pv.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.search-space.com/ O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = home.net O17 - HKLM\Software\..\Telephony: DomainName = home.net O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = home.net Dieser Beitrag wurde am 09.11.2004 um 12:42 Uhr von Sabina editiert.
|
|
|
||
ich hätte da nochmal eine frage...
was passiert mit den dateien im !submit - ordner??
greetz
the crow