http://www.internetcologne.de/[Microsoft Update] systemi32.exe

#0
25.10.2004, 00:02
Member

Beiträge: 11
#1 Hallo Leute,

Das ist mein erster Beitrag in diesem Forum. Ich hab mich schon durch ein paar Beiträge gelesen, werde aber trotzdem allein nicht mit meinem Problem fertig.

Also da ich ungefähr weiß was ihr braucht:

Logfile of HijackThis v1.97.7
Scan saved at 00:00:32, on 25.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
D:\Daten\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.internetcologne.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsoft Update] systemi32.exe
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [MSNMSGRR] C:\swin.bat
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft Update] systemi32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [Microsoft Update] systemi32.exe
O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2483040-3F0D-4231-B24E-F5765461EE50}: NameServer = 81.173.194.68 194.8.194.60

So ich hoffe dass mir jemand helfen kann, da ich zu meiner Schande gestehen muss, dass ich mich mit Problemen dieser Art nicht auskenne.

Danke im vorraus...
Dieser Beitrag wurde am 25.10.2004 um 13:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.10.2004, 13:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Pupsika

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

oeffne das HijackThis<scan< hake an, was ich schreibe <fix< und neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.internetcologne.de
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsoft Update] systemi32.exe
O4 - HKLM\..\Run: [MSNMSGRR] C:\swin.bat
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft Update] systemi32.exe
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [Microsoft Update] systemi32.exe

neustarten

oeffne das HijackThis

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\swin.bat <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\systemi32.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\Msbb.exe <PC neustarten

Das ist nur eine Vermutung von mir, dass es exisitiert...also mal versuchen:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\swed.bat <PC neustarten

Deaktiviere deine zwei Virenscanner und lade:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
Achte darauf , dass im Taskmanager die Backdoors nicht aktiv sind, wenn ja....deaktivieren.

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files, O.K

#Internet Explorer 6 Service Pack 1

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Danach
www.windowsupdate.com besuchen und alle WindowsUpdates durchfuehren (!!!!)

Dann poste das Log noch mal.Stelle vorher unter Internetoption eine neue Startseite ein

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.10.2004 um 13:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.10.2004, 13:37
Member

Themenstarter

Beiträge: 11
#3 Erstmal danke,

Ich habe bis zum ersten Neustart alles ausgeführt nur gibt es bei mir unter
HijackThis<Config<Misc Tools keine "Delete a file on reboot" Option wo ich die die entsprechende Datei reinkopieren könnte.
Ist der Pfad vielleicht falsch oder missverstehe ich dich nur.
Wie gesagt bin grade in diesem Bereich noch Anfänger...
Dieser Beitrag wurde am 25.10.2004 um 14:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.10.2004, 14:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Lade die aktuelle Version

HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
und poste dann alles weiter nur noch mit diesem HijackThis (das andere deinstalliere)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.10.2004 um 14:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.10.2004, 16:03
Member

Themenstarter

Beiträge: 11
#5 So nachdem ich die alte Version von HijackThis deinstalliert hab und die neue Version benutzt hab, waren alle Dateien die ich in "Delete a file on reboot" kopieren sollte nicht mehr da.

Hab "Antivirus Personal 5.0" runtergeladen und installiert, mein pc hat sich aber dauernd aufgehängt, so hab ich es wieder deinstalliert.

Die Temp-Dateien sind gelöscht und Windows ist geupdatet.

So hier:

Logfile of HijackThis v1.98.2
Scan saved at 16:17:25, on 25.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Daten\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098711373107
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

Ich hoffe es ist sauber...
Seitenanfang Seitenende
26.10.2004, 00:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@Pupsika

Der Kaspersky -Virenscanner hat sich "aufgehaengt", weil der PC drei (!) Virenscanner (alle aktiviert) nicht verkraftet.

Im Moment ist das Log sauber...aber das muss nicht bedeuten, dass die backdoors sich einfach in Luft aufgeloest haben.

Beobachte immer den Taskmanager, ob sie nicht wieder erscheinen.
____________________________________________________________________
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
#Danach
www.windowsupdate.com besuchen und alle WindowsUpdates durchfuehren (sonst bist du hier DAUERGAST )(!!!!)

Falls du keine saubere XP-Version hast, aendere das schnellstens und lade inzwischen problemlos:
#Update Pack XP SP1 Version 1.8 - Deutsch
http://download.winboard.org/downloads.php?release_id=649
den IE kannst\musst du ebenfalls problemlos updaten........
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.10.2004 um 00:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.10.2004, 00:24
Member

Themenstarter

Beiträge: 11
#7 Also diese Updates habe ich schon gemacht, vielen Dank nochmal...
Seitenanfang Seitenende
26.10.2004, 00:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Du machst wohl Witze ;)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.10.2004, 02:05
Member

Themenstarter

Beiträge: 11
#9 ups hast recht.hatte es gedownloaded aber nicht installiert....mfg
Seitenanfang Seitenende