http://www.internetcologne.de/[Microsoft Update] systemi32.exe |
||
---|---|---|
#0
| ||
25.10.2004, 00:02
Member
Beiträge: 11 |
||
|
||
25.10.2004, 13:03
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Pupsika
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 oeffne das HijackThis<scan< hake an, was ich schreibe <fix< und neustarten R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.internetcologne.de R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe O4 - HKLM\..\Run: [Microsoft Update] systemi32.exe O4 - HKLM\..\Run: [MSNMSGRR] C:\swin.bat O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKLM\..\RunServices: [Microsoft Update] systemi32.exe O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe O4 - HKCU\..\Run: [Microsoft Update] systemi32.exe neustarten oeffne das HijackThis HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\swin.bat <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\systemi32.exe <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\Msbb.exe <PC neustarten Das ist nur eine Vermutung von mir, dass es exisitiert...also mal versuchen: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\swed.bat <PC neustarten Deaktiviere deine zwei Virenscanner und lade: #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials Achte darauf , dass im Taskmanager die Backdoors nicht aktiv sind, wenn ja....deaktivieren. Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click Temporary Internet Files, O.K #Temporary Files, O.K #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Danach www.windowsupdate.com besuchen und alle WindowsUpdates durchfuehren (!!!!) Dann poste das Log noch mal.Stelle vorher unter Internetoption eine neue Startseite ein mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.10.2004 um 13:26 Uhr von Sabina editiert.
|
|
|
||
25.10.2004, 13:37
Member
Themenstarter Beiträge: 11 |
#3
Erstmal danke,
Ich habe bis zum ersten Neustart alles ausgeführt nur gibt es bei mir unter HijackThis<Config<Misc Tools keine "Delete a file on reboot" Option wo ich die die entsprechende Datei reinkopieren könnte. Ist der Pfad vielleicht falsch oder missverstehe ich dich nur. Wie gesagt bin grade in diesem Bereich noch Anfänger... Dieser Beitrag wurde am 25.10.2004 um 14:50 Uhr von Sabina editiert.
|
|
|
||
25.10.2004, 14:49
Ehrenmitglied
Beiträge: 29434 |
#4
Lade die aktuelle Version
HijackThis: <zip< http://www.downloads.subratam.org/hijackthis.zip und poste dann alles weiter nur noch mit diesem HijackThis (das andere deinstalliere) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.10.2004 um 14:50 Uhr von Sabina editiert.
|
|
|
||
25.10.2004, 16:03
Member
Themenstarter Beiträge: 11 |
#5
So nachdem ich die alte Version von HijackThis deinstalliert hab und die neue Version benutzt hab, waren alle Dateien die ich in "Delete a file on reboot" kopieren sollte nicht mehr da.
Hab "Antivirus Personal 5.0" runtergeladen und installiert, mein pc hat sich aber dauernd aufgehängt, so hab ich es wieder deinstalliert. Die Temp-Dateien sind gelöscht und Windows ist geupdatet. So hier: Logfile of HijackThis v1.98.2 Scan saved at 16:17:25, on 25.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\sstray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\Daten\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\eDonkey2000.exe -t O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098711373107 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab Ich hoffe es ist sauber... |
|
|
||
26.10.2004, 00:15
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Pupsika
Der Kaspersky -Virenscanner hat sich "aufgehaengt", weil der PC drei (!) Virenscanner (alle aktiviert) nicht verkraftet. Im Moment ist das Log sauber...aber das muss nicht bedeuten, dass die backdoors sich einfach in Luft aufgeloest haben. Beobachte immer den Taskmanager, ob sie nicht wieder erscheinen. ____________________________________________________________________ #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Danach www.windowsupdate.com besuchen und alle WindowsUpdates durchfuehren (sonst bist du hier DAUERGAST )(!!!!) Falls du keine saubere XP-Version hast, aendere das schnellstens und lade inzwischen problemlos: #Update Pack XP SP1 Version 1.8 - Deutsch http://download.winboard.org/downloads.php?release_id=649 den IE kannst\musst du ebenfalls problemlos updaten........ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.10.2004 um 00:18 Uhr von Sabina editiert.
|
|
|
||
26.10.2004, 00:24
Member
Themenstarter Beiträge: 11 |
#7
Also diese Updates habe ich schon gemacht, vielen Dank nochmal...
|
|
|
||
26.10.2004, 00:53
Ehrenmitglied
Beiträge: 29434 |
#8
Du machst wohl Witze
MSIE: Internet Explorer v6.00 (6.00.2600.0000) MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.10.2004, 02:05
Member
Themenstarter Beiträge: 11 |
#9
ups hast recht.hatte es gedownloaded aber nicht installiert....mfg
|
|
|
||
Das ist mein erster Beitrag in diesem Forum. Ich hab mich schon durch ein paar Beiträge gelesen, werde aber trotzdem allein nicht mit meinem Problem fertig.
Also da ich ungefähr weiß was ihr braucht:
Logfile of HijackThis v1.97.7
Scan saved at 00:00:32, on 25.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
D:\Daten\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.internetcologne.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Msbb.exe] Msbb.exe
O4 - HKLM\..\Run: [Microsoft Update] systemi32.exe
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [MSNMSGRR] C:\swin.bat
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft Update] systemi32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [Microsoft Update] systemi32.exe
O4 - HKCU\..\Run: [Steam] "d:\games\valve\steam\steam.exe" -silent
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2483040-3F0D-4231-B24E-F5765461EE50}: NameServer = 81.173.194.68 194.8.194.60
So ich hoffe dass mir jemand helfen kann, da ich zu meiner Schande gestehen muss, dass ich mich mit Problemen dieser Art nicht auskenne.
Danke im vorraus...