tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.12.2004, 09:52
Member
Beiträge: 16 |
||
|
||
01.12.2004, 12:51
Ehrenmitglied
Beiträge: 29434 |
#197
Hallo@badman
Die Dienste sind o.k. Sicherungen (Backups) der geloeschten Dateien befinden sich im Ordner !Submit im Hauptverzeichniss des Laufwerks Loesche das, denn du brauchst es nicht mehr. #microsoft.public.de.security.heimanwender FAQ http://faq.underflow.de/#SECTION000110000000000000000 #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.12.2004, 08:03
Member
Beiträge: 16 |
#198
Hallo @Sabina,
danke für die kompetente und schnelle Hilfe. An diesem Problem habe ich schon vorher einige Zeit gesessen, und auch etliche "Anti-Trojaner-Programme" sind daran verzweifelt. Kannst Du mir eventuell noch einen Tipp für ein gutes Programm zum Schutz bzw. zum Aufspüren von solch unerwünschten Besuchern geben? MfG, BADMAN |
|
|
||
02.12.2004, 12:37
Ehrenmitglied
Beiträge: 29434 |
#199
Hallo@badman
der eScan (mwav.exe) ist ein gutes Tool, um Malware zu erkennen. Das HijackThis ebenfalls . Ansonsten surfe mit dem Firefox, mache regelmaessig die WindowsUpdates und komm ins Forum, wenn was nicht funktioniert. Vorsicht mit der selbstaendigen Auswertung (!) Das sollte man nur machen, wenn man was davon versteht (!) #HijackThis-Auswertung http://www.hijackthis.de/ http://www.wintotal.de/Tipps/Eintrag.php?RBID=3&TID=873&URBID=3 HijackThis/1.98.2 : http://www.downloads.subratam.org/hijackthis.zip mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.12.2004, 19:31
...neu hier
Beiträge: 3 |
#200
Hallo,
also ich glaube ich habe es jetzt endlich geschafft die Biester loszuwerden. Habe jetzt gerade nochmal mit ESCAN und AntiVir gescannt und beide Programme haben nichts mehr gefunden. Hier aber vorsichtshalber noch mal (das?) HijackThis Logfile: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Belkin\Bluetooth Software\bin\by the way.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Belkin\Bluetooth Software\BTTray.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Polli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe (file missing) O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094468023271 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab Sollte ich mich irren, bin ich für Hilfe absolut dankbar. Vielen Dank für die schnelle und effiziente Hilfe in diesem Forum. Liebe Grüße Jezzbelle |
|
|
||
03.12.2004, 22:53
...neu hier
Beiträge: 8 |
#201
TR/Dldr.Small.OR - Hilfe - mich hats auch erwischt!
Hallo, wer kann mir bitte helfen. AntiVirus hat bei mir obigen Virus entdeckt. Ich kenn mich leider nicht so gut aus und weiß jetzt überhaupt nicht, was ich tun muß. Auch sagt mir ein LogFile nichts. Wer kann mir bitte helfen? Gruß Monika |
|
|
||
03.12.2004, 23:59
Ehrenmitglied
Beiträge: 29434 |
#202
Hallo@Monika1
HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip 1.Log Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2004, 08:59
...neu hier
Beiträge: 8 |
#203
Guten Morgen Sabina,
vielen Dank für Deine Antwort und Hilfe. Ich habe alles so gemacht wie Du gesagt hast. Hier ist mein Log! Logfile of HijackThis v1.99.0 (BETA) Scan saved at 09:00:42, on 04.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\msreg.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\svc32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe D:\test\YAHOO-~1\MESSEN~1\ymsgr_tray.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199_beta.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\msreg.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [websx] C:\Programme\websx\int129365.exe -auto O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] D:\test\YAHOO-~1\MESSEN~1\ypager.exe -quiet O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe O12 - Plugin for .sty: C:\Programme\Internet Explorer\PLUGINS\npvmidi.dll O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100883166608 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F909FE-186B-4C16-A668-5BF55DA8B61E}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Und? Schlimm? Viele Grüße Monika |
|
|
||
04.12.2004, 09:01
...neu hier
Beiträge: 8 |
#204
Ich habe übrigens gestern nacht noch den "explorer.cab" gelöscht. Er befindet sich jedoch noch im Papierkorb.
|
|
|
||
04.12.2004, 19:59
Ehrenmitglied
Beiträge: 29434 |
#205
Hallo@Monika1
Papierkorb leeren...warum einen Trojaner behalten ? ____________________________________________________________________ Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Lade die Killbox: http://www.bleepingcomputer.com/files/killbox.php #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\msreg.exe [Backdoor.Zinx] O4 - HKLM\..\Run: [websx] C:\Programme\websx\int129365.exe -auto [Dialer] O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab PC neustarten <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Loesche: -->Löschen/mit der Killbox: KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz wenn die Frage nach reboot kommt->klicke "no" und fuege die naechste ein. Erst beim letzten-a "yes" http://www.bleepingcomputer.com/files/killbox.php <C:\WINDOWS\msreg.exe <C:\Programme\websx\int129365.exe <c:\explorer.cab # C:\Windows\5845.exe # C:\Windows\msreg.exe # C:\Windows\System32\svchostc.exe # C:\Windows\System32\svchosts.exe #öffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.12.2004 um 20:53 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 12:27
...neu hier
Beiträge: 8 |
#206
Hallo Sabina,
ich habe alles so abgearbeitet, wie Du es gesagt hast. Habe jetzt erneut das Antivirus drüber laufen lassen und folgenden Report erhalten: Report - Fehlermeldungen - Funde - von AntiVirus: C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\!Submit w32_API.cab ArchiveType: CAB (Microsoft) --> adapi.exe [FUND!] Ist das Trojanische Pferd TR/Spy.Adapert C:\Dokumente und Einstellungen\LocalService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Moni und Berni NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp Perflib_Perfdata_7a4.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information Zusätzlich sende ich Dir hier nochmals das jetzt aktuelle Hijackthis-LogFile: Logfile of HijackThis v1.99.0 (BETA) Scan saved at 12:29:17, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe D:\test\YAHOO-~1\MESSEN~1\ymsgr_tray.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199_beta.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\test\Yahoo-Messenger\Messenger\ycomp.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] D:\test\YAHOO-~1\MESSEN~1\ypager.exe -quiet O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe O12 - Plugin for .sty: C:\Programme\Internet Explorer\PLUGINS\npvmidi.dll O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100883166608 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F909FE-186B-4C16-A668-5BF55DA8B61E}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Ist nun alles ok? Oder muß ich noch etwas tun? Viele Grüße Monika |
|
|
||
05.12.2004, 12:45
Ehrenmitglied
Beiträge: 29434 |
#207
Hallo@Monika1
Das wird als Malware angesehen: O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab ______________________________________________________________________ #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen w32_API.cab ArchiveType: CAB (Microsoft) --> adapi.exe [FUND!] Ist das Trojanische Pferd TR/Spy.Adapert/TR/Dldr.Agent.CB suchen und loeschen: <w32_API.cab <hermes.exe <start.inf. <adapi.exe #C:\Windows\Downloaded Programm Files\ -->löschen 4.ActiveX-Controls Schalter Einstellungen Klicke auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen. 5. Markiere dazu einen Eintrag mit der rechten Maustaste, und wähle <Eigenschaften< aus dem Kontextmenü. http://www.microsoft.com/germany/ms/windowscenter/tipps/activex.htm Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Dann berichte. ______________________________________________________________________ Zitat: TEST MS-IE 6, SP1 zeigt das Resultat eines einzigen Seiten-Aufrufs im Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen. Als Browser wurde ein • IE 5.0 (1. Test) • IE 6, SP1, gepatcht (2. Test) unter Win98 verwendet. • Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden ! Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand". Das Protokoll besteht aus 3 Teilen: • Modifikationen im System bei/durch den Seitenaufruf • HijackThis-Log (ausgewertet) • Virenscan (KAV) Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen: • 98 (!!) Objekte gefunden 1 Process • 32 Registry-Schlüssel • 53 Registry Werte • 11 Dateien • 1 Ordne Resumée: Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser. In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen. ------------------------------------------------------------------------------------ Solche Downloader stecken in aktiven Skripten von Warez oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 Danach die WindowsUpdates machen www.windowsupdate.com besuchen und alle Updates installieren #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.12.2004 um 12:55 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 22:53
...neu hier
Beiträge: 8 |
#208
Hallo Sabina,
habe alles befolgt bis zum Punkt "dann berichte". Ich habe die Datei "w32_API.cab" gelöscht, in der sich die anderen beiden Dateien (start.inf und adapi.exe) befunden haben. Die Datei "hermes.exe" habe ich nicht gefunden und konnte somit auch nicht löschen. Ebenso möchte ich Dir mitteilen, dass ich die Installation von Incredi-Mail nicht durchgeführt habe, da ich dieses Programm nicht haben will. Irgendwie hat sich dieses Program einmal installiert und sich nie wieder entfernen bzw. löschen lassen. Das aktuelle LogFile kannst Du nachfolgend sehen: ********************* Logfile of HijackThis v1.99.0 (BETA) Scan saved at 22:43:13, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe D:\test\YAHOO-~1\MESSEN~1\ymsgr_tray.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Moni und Berni\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis199_beta.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ImInstaller] C:\DOKUME~1\MONIUN~1\LOKALE~1\Temp\ImInstaller\IncrediMail\imloader.exe -product IncrediMail O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] D:\test\YAHOO-~1\MESSEN~1\ypager.exe -quiet O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\test\YAHOO-~1\MESSEN~1\YPager.exe O12 - Plugin for .sty: C:\Programme\Internet Explorer\PLUGINS\npvmidi.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A7F909FE-186B-4C16-A668-5BF55DA8B61E}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe ***************************** Und, wie sieht es aus? Bin ich bald wieder clean? Viele Grüße Monika |
|
|
||
05.12.2004, 23:28
Ehrenmitglied
Beiträge: 29434 |
#209
Hallo@Monika1
versuche mal mit dem HijackThis zu loeschen: 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\Windows\System32\iomlader.dll 4.) PC neustarten Ansonsten ist das Log sauber Wenn du jedoch nicht den IE updatest und dein Windows...wirst du hier Dauerkunde sein. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.12.2004 um 23:29 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 23:54
...neu hier
Beiträge: 8 |
#210
Hallo Sabina,
vielen vielen Dank für die tolle und perfekte Hilfe und Unterstützung. Ich habe gerade nochmals das AntiVirus drüber laufen lassen und dieses hat keine Fehler mehr angezeigt. Dass etwas nicht stimmt, habe ich von jemand mitgeteilt bekommen, dem ich eine e-Mail schrieb. An meine ausgehenden Mails wurde nämlich immer eine "winmail.dat" angehängt. Ich selbst jedoch, habe diesen Anhang nie gesehen. Glaubst Du, dass auch dieser Fehler nun weg ist? Was das Update von Windows Explorer angeht (Sicherungspack 2), so kann ich dieses nicht installieren. Warum weiß ich nicht. Gibt es noch eine andere Möglichkeit? Viele Grüße Monika |
|
|
||
elite.exe, loud234.exe und msxmidi.exe finden sich nicht mehr unter dem angegebenen Pfad, sondern unter C:\!Submit.
Die Twink64.exe direkt finde ich gar nicht, nur die twink64.exe.vir ebenfalls unter C:\!Submit.
Können die in dem Ordner bleiben, oder soll ich den komplett löschen?
---------------------------------------------------------------------------
get_active_services_179.zip lieferte folgendes Log:
These are the Current Active Services:
GATEWAYDIENST AUF ANWENDUNGSEBENE: ALG
C:\WINDOWS\System32\alg.exe
ANTIVIR SERVICE: AntiVirService
C:\Programme\AVPersonal\AVGUARD.EXE
WINDOWS AUDIO: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
COMPUTERBROWSER: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs
KRYPTOGRAFIEDIENSTE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs
DHCP-CLIENT: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs
COM+-EREIGNISSYSTEM: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs
KOMPATIBILITÄT FÜR SCHNELLE BENUTZERUMSCHALTUNG: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs
HILFE UND SUPPORT: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
INFRAROTÜBERWACHUNG: Irmon
C:\WINDOWS\System32\svchost.exe -k netsvcs
SERVER: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs
ARBEITSSTATIONSDIENST: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs
NETZWERKVERBINDUNGEN: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs
NLA (NETWORK LOCATION AWARENESS): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs
RAS-VERBINDUNGSVERWALTUNG: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs
TASKPLANER: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs
SEKUNDÄRE ANMELDUNG: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs
SYSTEMEREIGNISBENACHRICHTIGUNG: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs
WINDOWS-FIREWALL/GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG: SharedAccess
C:\WINDOWS\System32\svchost.exe -k netsvcs
SHELLHARDWAREERKENNUNG: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs
TELEFONIE: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs
DESIGNS: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs
ÜBERWACHUNG VERTEILTER VERKNÜPFUNGEN (CLIENT): TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs
WINDOWS-VERWALTUNGSINSTRUMENTATION: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
SICHERHEITSCENTER: wscsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs
KONFIGURATIONSFREIE DRAHTLOSE VERBINDUNG: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
ANTIVIR UPDATE: AVWUpSrv
"C:\Programme\AVPersonal\AVWUPSRV.EXE"
DCOM-SERVER-PROZESSSTART: DcomLaunch
C:\WINDOWS\system32\svchost -k DcomLaunch
TERMINALDIENSTE: TermService
C:\WINDOWS\System32\svchost -k DComLaunch
DNS-CLIENT: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
EREIGNISPROTOKOLL: Eventlog
C:\WINDOWS\system32\services.exe
PLUG & PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
TCP/IP-NETBIOS-HILFSPROGRAMM: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
SSDP-SUCHDIENST: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
MACHINE DEBUG MANAGER: MDM
"C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"
NVIDIA DISPLAY DRIVER SERVICE: NVSvc
C:\WINDOWS\system32\nvsvc32.exe
IPSEC-DIENSTE: PolicyAgent
C:\WINDOWS\System32\lsass.exe
GESCHÜTZTER SPEICHER: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
SICHERHEITSKONTENVERWALTUNG: SamSs
C:\WINDOWS\system32\lsass.exe
REMOTEPROZEDURAUFRUF (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
DRUCKWARTESCHLANGE: Spooler
C:\WINDOWS\system32\spoolsv.exe
WINDOWS-BILDERFASSUNG (WIA): stisvc
C:\WINDOWS\System32\svchost.exe -k imgsvc
TRUEVECTOR INTERNET MONITOR: vsmon
C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
---------------------------------------------------------------------------
MfG und vielen Dank,
BADMAN