tr/dldr.small.or

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.12.2004, 09:52
Member

Beiträge: 16
#196 Hallo @ Sabina,

elite.exe, loud234.exe und msxmidi.exe finden sich nicht mehr unter dem angegebenen Pfad, sondern unter C:\!Submit.
Die Twink64.exe direkt finde ich gar nicht, nur die twink64.exe.vir ebenfalls unter C:\!Submit.
Können die in dem Ordner bleiben, oder soll ich den komplett löschen?
---------------------------------------------------------------------------
get_active_services_179.zip lieferte folgendes Log:

These are the Current Active Services:

GATEWAYDIENST AUF ANWENDUNGSEBENE: ALG
C:\WINDOWS\System32\alg.exe

ANTIVIR SERVICE: AntiVirService
C:\Programme\AVPersonal\AVGUARD.EXE

WINDOWS AUDIO: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

COMPUTERBROWSER: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs

KRYPTOGRAFIEDIENSTE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs

DHCP-CLIENT: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs

COM+-EREIGNISSYSTEM: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs

KOMPATIBILITÄT FÜR SCHNELLE BENUTZERUMSCHALTUNG: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs

HILFE UND SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

INFRAROTÜBERWACHUNG: Irmon
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVER: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs

ARBEITSSTATIONSDIENST: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs

NETZWERKVERBINDUNGEN: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs

NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs

RAS-VERBINDUNGSVERWALTUNG: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs

TASKPLANER: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs

SEKUNDÄRE ANMELDUNG: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs

SYSTEMEREIGNISBENACHRICHTIGUNG: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs

WINDOWS-FIREWALL/GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG: SharedAccess
C:\WINDOWS\System32\svchost.exe -k netsvcs

SHELLHARDWAREERKENNUNG: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs

TELEFONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

DESIGNS: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs

ÜBERWACHUNG VERTEILTER VERKNÜPFUNGEN (CLIENT): TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs

WINDOWS-VERWALTUNGSINSTRUMENTATION: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs

SICHERHEITSCENTER: wscsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

KONFIGURATIONSFREIE DRAHTLOSE VERBINDUNG: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs

ANTIVIR UPDATE: AVWUpSrv
"C:\Programme\AVPersonal\AVWUPSRV.EXE"

DCOM-SERVER-PROZESSSTART: DcomLaunch
C:\WINDOWS\system32\svchost -k DcomLaunch

TERMINALDIENSTE: TermService
C:\WINDOWS\System32\svchost -k DComLaunch

DNS-CLIENT: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService

EREIGNISPROTOKOLL: Eventlog
C:\WINDOWS\system32\services.exe

PLUG & PLAY: PlugPlay
C:\WINDOWS\system32\services.exe

TCP/IP-NETBIOS-HILFSPROGRAMM: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService

SSDP-SUCHDIENST: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService

WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService

MACHINE DEBUG MANAGER: MDM
"C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"

NVIDIA DISPLAY DRIVER SERVICE: NVSvc
C:\WINDOWS\system32\nvsvc32.exe

IPSEC-DIENSTE: PolicyAgent
C:\WINDOWS\System32\lsass.exe

GESCHÜTZTER SPEICHER: ProtectedStorage
C:\WINDOWS\system32\lsass.exe

SICHERHEITSKONTENVERWALTUNG: SamSs
C:\WINDOWS\system32\lsass.exe

REMOTEPROZEDURAUFRUF (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss

DRUCKWARTESCHLANGE: Spooler
C:\WINDOWS\system32\spoolsv.exe

WINDOWS-BILDERFASSUNG (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc

TRUEVECTOR INTERNET MONITOR: vsmon
C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
---------------------------------------------------------------------------

MfG und vielen Dank,

BADMAN
Seitenanfang Seitenende
01.12.2004, 12:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#197 Hallo@badman

Die Dienste sind o.k.

Sicherungen (Backups) der geloeschten Dateien befinden sich im Ordner !Submit im Hauptverzeichniss des Laufwerks
Loesche das, denn du brauchst es nicht mehr.

#microsoft.public.de.security.heimanwender FAQ
http://faq.underflow.de/#SECTION000110000000000000000

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

Mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.12.2004, 08:03
Member

Beiträge: 16
#198 Hallo @Sabina,

danke für die kompetente und schnelle Hilfe. An diesem Problem habe ich schon vorher einige Zeit gesessen, und auch etliche "Anti-Trojaner-Programme" sind daran verzweifelt.
Kannst Du mir eventuell noch einen Tipp für ein gutes Programm zum Schutz bzw. zum Aufspüren von solch unerwünschten Besuchern geben?

MfG,

BADMAN
Seitenanfang Seitenende
02.12.2004, 12:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#199 Hallo@badman

der eScan (mwav.exe) ist ein gutes Tool, um Malware zu erkennen.
Das HijackThis ebenfalls .
Ansonsten surfe mit dem Firefox, mache regelmaessig die WindowsUpdates und komm ins Forum, wenn was nicht funktioniert.

Vorsicht mit der selbstaendigen Auswertung (!) Das sollte man nur machen, wenn man was davon versteht (!)
#HijackThis-Auswertung
http://www.hijackthis.de/
http://www.wintotal.de/Tipps/Eintrag.php?RBID=3&TID=873&URBID=3
HijackThis/1.98.2 :
http://www.downloads.subratam.org/hijackthis.zip

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2004, 19:31
...neu hier

Beiträge: 3
#200 Hallo,
also ich glaube ich habe es jetzt endlich geschafft die Biester loszuwerden. Habe jetzt gerade nochmal mit ESCAN und AntiVir gescannt und beide Programme haben nichts mehr gefunden.
Hier aber vorsichtshalber noch mal (das?) HijackThis Logfile:



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Belkin\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Polli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe (file missing)
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094468023271
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Sollte ich mich irren, bin ich für Hilfe absolut dankbar.

Vielen Dank für die schnelle und effiziente Hilfe in diesem Forum.

Liebe Grüße

Jezzbelle
Seitenanfang Seitenende
03.12.2004, 22:53
...neu hier

Beiträge: 8
#201 TR/Dldr.Small.OR - Hilfe - mich hats auch erwischt!

Hallo, wer kann mir bitte helfen. AntiVirus hat bei mir obigen Virus entdeckt. Ich kenn mich leider nicht so gut aus und weiß jetzt überhaupt nicht, was ich tun muß. Auch sagt mir ein LogFile nichts. Wer kann mir bitte helfen? Gruß Monika
Seitenanfang Seitenende
03.12.2004, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#202 Hallo@Monika1

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2004, 08:59
...neu hier

Beiträge: 8
#203 Guten Morgen Sabina,

vielen Dank für Deine Antwort und Hilfe. Ich habe alles so gemacht wie Du gesagt hast. Hier ist mein Log!

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 09:00:42, on 04.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\msreg.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\svc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
D:\test\YAHOO-~1\MESSEN~1\ymsgr_tray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199_beta.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\msreg.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int129365.exe -auto
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\test\YAHOO-~1\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe
O12 - Plugin for .sty: C:\Programme\Internet Explorer\PLUGINS\npvmidi.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100883166608
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F909FE-186B-4C16-A668-5BF55DA8B61E}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Und? Schlimm?

Viele Grüße Monika
Seitenanfang Seitenende
04.12.2004, 09:01
...neu hier

Beiträge: 8
#204 Ich habe übrigens gestern nacht noch den "explorer.cab" gelöscht. Er befindet sich jedoch noch im Papierkorb.
Seitenanfang Seitenende
04.12.2004, 19:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#205 Hallo@Monika1

Papierkorb leeren...warum einen Trojaner behalten ?
____________________________________________________________________

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\msreg.exe [Backdoor.Zinx]
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int129365.exe -auto [Dialer]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

PC neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loesche:
-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz
wenn die Frage nach reboot kommt->klicke "no" und fuege die naechste ein. Erst beim letzten-a "yes"
http://www.bleepingcomputer.com/files/killbox.php

<C:\WINDOWS\msreg.exe
<C:\Programme\websx\int129365.exe
<c:\explorer.cab
# C:\Windows\5845.exe
# C:\Windows\msreg.exe
# C:\Windows\System32\svchostc.exe
# C:\Windows\System32\svchosts.exe

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.12.2004 um 20:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 12:27
...neu hier

Beiträge: 8
#206 Hallo Sabina,

ich habe alles so abgearbeitet, wie Du es gesagt hast. Habe jetzt erneut das Antivirus drüber laufen lassen und folgenden Report erhalten:

Report - Fehlermeldungen - Funde - von AntiVirus:

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\!Submit
w32_API.cab
ArchiveType: CAB (Microsoft)
--> adapi.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Adapert
C:\Dokumente und Einstellungen\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Moni und Berni
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp
Perflib_Perfdata_7a4.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information


Zusätzlich sende ich Dir hier nochmals das jetzt aktuelle Hijackthis-LogFile:


Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 12:29:17, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
D:\test\YAHOO-~1\MESSEN~1\ymsgr_tray.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199_beta.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\test\YAHOO-~1\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe
O12 - Plugin for .sty: C:\Programme\Internet Explorer\PLUGINS\npvmidi.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100883166608
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F909FE-186B-4C16-A668-5BF55DA8B61E}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Ist nun alles ok? Oder muß ich noch etwas tun?

Viele Grüße

Monika
Seitenanfang Seitenende
05.12.2004, 12:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#207 Hallo@Monika1

Das wird als Malware angesehen:
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
______________________________________________________________________

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

w32_API.cab
ArchiveType: CAB (Microsoft)
--> adapi.exe
[FUND!] Ist das Trojanische Pferd TR/Spy.Adapert/TR/Dldr.Agent.CB

suchen und loeschen:

<w32_API.cab
<hermes.exe
<start.inf.
<adapi.exe

#C:\Windows\Downloaded Programm Files\ -->löschen
4.ActiveX-Controls
Schalter Einstellungen
Klicke auf den Button Objekte anzeigen. Eine Liste aller lokalen
ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein
vertrauenswürdiges Programm handelt, reicht es in der Regel aus,
den Urheber der Komponente ausfindig zu machen.
5. Markiere dazu einen Eintrag mit der rechten Maustaste, und
wähle <Eigenschaften< aus dem Kontextmenü.
http://www.microsoft.com/germany/ms/windowscenter/tipps/activex.htm

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Dann berichte.
______________________________________________________________________

Zitat:
TEST MS-IE 6, SP1

zeigt das Resultat eines einzigen Seiten-Aufrufs im
Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke
konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen.
Als Browser wurde ein
• IE 5.0 (1. Test)
• IE 6, SP1, gepatcht (2. Test)
unter Win98 verwendet.
• Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden !
Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand".

Das Protokoll besteht aus 3 Teilen:
• Modifikationen im System bei/durch den Seitenaufruf
• HijackThis-Log (ausgewertet)
• Virenscan (KAV)

Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen:
• 98 (!!) Objekte gefunden 1 Process
• 32 Registry-Schlüssel
• 53 Registry Werte
• 11 Dateien
• 1 Ordne

Resumée:
Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser.

In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen.
------------------------------------------------------------------------------------
Solche Downloader stecken in aktiven Skripten von Warez oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist
Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

Danach die WindowsUpdates machen www.windowsupdate.com besuchen und alle Updates installieren

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 12:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 22:53
...neu hier

Beiträge: 8
#208 Hallo Sabina,

habe alles befolgt bis zum Punkt "dann berichte".

Ich habe die Datei "w32_API.cab" gelöscht, in der sich die anderen beiden Dateien (start.inf und adapi.exe) befunden haben.

Die Datei "hermes.exe" habe ich nicht gefunden und konnte somit auch nicht löschen.

Ebenso möchte ich Dir mitteilen, dass ich die Installation von Incredi-Mail nicht durchgeführt habe, da ich dieses Programm nicht haben will. Irgendwie hat sich dieses Program einmal installiert und sich nie wieder entfernen bzw. löschen lassen.

Das aktuelle LogFile kannst Du nachfolgend sehen:

*********************

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 22:43:13, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
D:\test\YAHOO-~1\MESSEN~1\ymsgr_tray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis199_beta.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ImInstaller] C:\DOKUME~1\MONIUN~1\LOKALE~1\Temp\ImInstaller\IncrediMail\imloader.exe -product IncrediMail
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\test\YAHOO-~1\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe
O12 - Plugin for .sty: C:\Programme\Internet Explorer\PLUGINS\npvmidi.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F909FE-186B-4C16-A668-5BF55DA8B61E}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

*****************************

Und, wie sieht es aus? Bin ich bald wieder clean?

Viele Grüße

Monika
Seitenanfang Seitenende
05.12.2004, 23:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#209 Hallo@Monika1

versuche mal mit dem HijackThis zu loeschen:

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\Windows\System32\iomlader.dll
4.) PC neustarten

Ansonsten ist das Log sauber :p
Wenn du jedoch nicht den IE updatest und dein Windows...wirst du hier Dauerkunde sein.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 23:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 23:54
...neu hier

Beiträge: 8
#210 Hallo Sabina,

vielen vielen Dank für die tolle und perfekte Hilfe und Unterstützung. Ich habe gerade nochmals das AntiVirus drüber laufen lassen und dieses hat keine Fehler mehr angezeigt.

Dass etwas nicht stimmt, habe ich von jemand mitgeteilt bekommen, dem ich eine e-Mail schrieb. An meine ausgehenden Mails wurde nämlich immer eine "winmail.dat" angehängt. Ich selbst jedoch, habe diesen Anhang nie gesehen.

Glaubst Du, dass auch dieser Fehler nun weg ist?

Was das Update von Windows Explorer angeht (Sicherungspack 2), so kann ich dieses nicht installieren. Warum weiß ich nicht. Gibt es noch eine andere Möglichkeit?

Viele Grüße

Monika
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: