"csmss.exe" in system32-ordner ??? |
||
---|---|---|
#0
| ||
13.11.2004, 21:51
Moderator
Beiträge: 7805 |
||
|
||
13.11.2004, 22:24
...neu hier
Beiträge: 10 |
#17
ok das hab ich jez gemacht allerdings waren die meisten datein von denen schon gelöscht (hab ja schon bischen herumprobiert wie der weggeht). ausserdem hab ich jez unter normaler windows suche alle datein die sich am 16.10 in den windows oder system32 ordner kopiert haben gelöscht (hab ja an dem tag sonst nichts besonderes getan)
aber eins haben wir jez immerhin geschaft sie öffnet sich nichtmehr beim startup. löschen geht sie aber auch nicht :/.. Dieser Beitrag wurde am 13.11.2004 um 22:25 Uhr von VanCy editiert.
|
|
|
||
13.11.2004, 22:25
Moderator
Beiträge: 7805 |
#18
Bi Winxp/Me haette eine Systemwiederherstellung auh nicht geschadet.
Also lass zur Sicherheit nochmal eScan scannen und/oder poste noch ein Hijackthis log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 22:28
...neu hier
Beiträge: 10 |
#19
Logfile of HijackThis v1.97.7
Scan saved at 22:27:53, on 21.10.2002 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\ZoneAlarm\zlclient.exe C:\Programme\Trillian\trillian.exe C:\Dokumente und Einstellungen\Sven\Eigene Dateien\Progamme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no file) O2 - BHO: (no name) - {6DDA302F-B411-5099-8006-115578A07F4A} - C:\WINDOWS\System32\gknexnta.dll (file missing) O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe" O4 - Startup: Trillian.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2C176613-6AFD-4A6D-ABD8-D02515886AAF}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{2C176613-6AFD-4A6D-ABD8-D02515886AAF}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{2C176613-6AFD-4A6D-ABD8-D02515886AAF}: NameServer = 192.168.0.1 also hier is log sind das da oben lauter porno seiten oder was Oo? also so nötig hab ichs nun auch wieder nicht dass da gleich 20 pornoseiten oben stehn ^^ Dieser Beitrag wurde am 13.11.2004 um 22:33 Uhr von VanCy editiert.
|
|
|
||
13.11.2004, 22:33
Moderator
Beiträge: 7805 |
#20
DAs musst du fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no file) O2 - BHO: (no name) - {6DDA302F-B411-5099-8006-115578A07F4A} - C:\WINDOWS\System32\gknexnta.dll (file missing) O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing) O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Ein Windowsupdate ist bei dir auch angesagt! Sprich installiere mal SP2! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 22:37
...neu hier
Beiträge: 10 |
#21
jo hatte ich auch vor nur war da dann die CD beschädigt -.-'
und danke, mal schaun obs hilft ^^ Dieser Beitrag wurde am 13.11.2004 um 22:38 Uhr von VanCy editiert.
|
|
|
||
13.11.2004, 22:44
...neu hier
Beiträge: 10 |
#22
also das hab ich jez gemacht aber die dateien lassen sich immernoch nicht löschen .
aber wenigstens öffnet sie sich nicht mehr von selbst is ja schon mal was. Dieser Beitrag wurde am 13.11.2004 um 22:45 Uhr von VanCy editiert.
|
|
|
||
13.11.2004, 22:45
Moderator
Beiträge: 7805 |
||
|
||
13.11.2004, 22:47
...neu hier
Beiträge: 10 |
||
|
||
13.11.2004, 22:50
Moderator
Beiträge: 7805 |
#25
Ja! Nutz mal Killbox dazu:
http://www.rokop-security.de/board/index.php?showtopic=3867 Kann sein, das du delete after Reboot aktivieren musst, bzw winacpi.dll kannst du nur loeschen, wenn die Explorer.exe nicht im Taskmanager auftaucht. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 23:12
...neu hier
Beiträge: 10 |
#26
Hehe weg is die sau und er kommt nicht wieder nach reboot !!
hab auch gleich mit escan gescannt der hat mir die wsock32.dll als virus angezeigt das kann nur ein fehler sein oder? also tausend dank hast mir wirklich sehr geholfen (und ich hab auch gelcieh paar neue programme kennengelernt die ich noch garnet vorher gesehn hab ^^)! Dieser Beitrag wurde am 13.11.2004 um 23:16 Uhr von VanCy editiert.
|
|
|
||
13.11.2004, 23:56
Moderator
Beiträge: 7805 |
#27
Teste die Datei mal hier: http://virusscan.jotti.dhs.org/ und/oder schicke sie mal an virus@protecus.de
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.11.2004, 11:52
...neu hier
Beiträge: 10 |
#28
jo i hab das jez geamcht und steht halt immer "no virus detectet" aber in dem ordner is noch eine andere darei (auch wsock32.DL) also keine dll sondern dl (wahrscheinlich irgendweine fehlerhafte datei) und die hat escan glaub ich gemeint. die hab ich jez löschen porbiert aber die scheint nicht zu existieren :/.
vl weisst du wie man sowas noch wegkrigt aber ansonsten scheint jetzt wieder alles sauber nochmal danke Dieser Beitrag wurde am 14.11.2004 um 12:07 Uhr von VanCy editiert.
|
|
|
||
Als erste Massnahme, kannst du mal diese DAteien im abgesicherten Modus loeschen. Mit der child.dll wirst du probleme haben, du musst den Explorer Task abschiessen, bevor du die Datei loeschen kannst. starte mal Wizip/winrar damit du danach die DAtei noch loeschen kannst, oder killbox, oder im Dosfenster, wenn du dich mit dos auskennst.
Entschuldige, das das ein wenig gequetscht aussieht, geht aber auf die schnelle nicht anders.:
C:\WINDOWS\system32\angelex.exe¶ 16:22 26.10.04 86016 !
C:\WINDOWS\system32\basexinfo.txt 10:00 31.10.02 12
C:\WINDOWS\system32\basexuk.txt 10:00 31.10.02 33
C:\WINDOWS\system32\bbchk.exe¶ 15:24 09.02.04 12560
C:\WINDOWS\system32\child.dll 09:59 31.10.02 8192
C:\WINDOWS\system32\dktibs.exe¶ 09:58 31.10.02 25088
C:\WINDOWS\system32\exdl.exe§ 19:53 14.09.04 102400
C:\WINDOWS\system32\exdl0.exe§ 16:23 26.10.04 114688
C:\WINDOWS\system32\exdl1.exe§ 16:23 26.10.04 114688
C:\WINDOWS\system32\exul.exe¶ 16:24 26.10.04 36864
C:\WINDOWS\system32\exul1.exe¶ 16:24 26.10.04 36864
C:\WINDOWS\system32\instsrv.exe¶ 00:01 03.09.94 32596
C:\WINDOWS\system32\javexulm.vxd¶ 16:24 26.10.04 36864
C:\WINDOWS\system32\mac80ex.idf 10:04 31.10.02 1036538
C:\WINDOWS\system32\mqexdlm.srg§ 16:23 26.10.04 114688
C:\WINDOWS\system32\msbe.dll¶ 16:23 26.10.04 57344
C:\WINDOWS\system32\msexreg.exe¶ 19:53 02.09.04 20480
C:\WINDOWS\system32\msrexe.exe¶ 09:59 31.10.02 31744 !
C:\WINDOWS\system32\netut80ex.vxd§ 10:04 31.10.02 145361
C:\WINDOWS\system32\systime.exe 09:58 31.10.02 2560
C:\WINDOWS\system32\vx0.nls 10:04 31.10.02 8192
C:\WINDOWS\system32\vx1.nls 10:04 31.10.02 8192
C:\WINDOWS\system32\vx1x.nls 10:04 31.10.02 8192
C:\WINDOWS\system32\xyjnacog.exe¶ 15:33 20.07.04 38400
__________
MfG Ralf
SEO-Spam Hunter