Spyware Remote Security Scanner Popup |
||
---|---|---|
#0
| ||
12.11.2004, 14:58
...neu hier
Beiträge: 5 |
||
|
||
12.11.2004, 15:31
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@djnessie
#Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file) O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [GetUsagev2] E:\Rar$EX00.593\getusage2xp.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - neustarten #suche und loesche: <dashier.JPG <toolbar.dll, toolbar_.dll Deinstallieren: -->>Systemsteuerung -> Software" C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (soll Spyware enthalten) Such mal, ob du folgendes findest: <cax.cab kommt von : [O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - *http://63.219.181.7/cax.cab*] oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot<kopiere rein: C:\WINDOWS\system32\pxhping.exe PC neustarten #das wuerde ich auch loeschen...es sei denn, du weisst, wozu das gut ist <E:\Rar$EX00.593\getusage2xp.exe <C:\WINDOWS\System32\extrac16.exe klicke mal die exe mit rechts an-->Eigenschaften ...was steht da ? #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporary Internet Files/TEMPORÄRE INTERNET DATEIEN, O.K #Click:TEMPORÄRE DATEIEN, O.K Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. #Nachrichtendienst Starttyp-Empfehlung: DEAKTIVIERT "Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. (wird auch von Spyware-Software "gekapert" <Das eScan AV Toolkit (mwav.exe) ...scanne und berichte, was gfunden wird. .......................................................................................................... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.11.2004 um 15:51 Uhr von Sabina editiert.
|
|
|
||
12.11.2004, 15:58
...neu hier
Themenstarter Beiträge: 5 |
||
|
||
12.11.2004, 16:23
...neu hier
Themenstarter Beiträge: 5 |
#4
getusage weiss ich wofür das ist.
C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\extrac16.exe die beiden sachen find ich gar nicht. Sind nur im prefetch ordner! Das lässt sich wohl net wegmachen: O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - eSCAN findet nichts. Muss ich das evtl unter abgesichertem modus machen?? Logfile of HijackThis v1.98.2 Scan saved at 16:19:54, on 12.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\real\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\RUNDLL32.EXE E:\Rar$EX00.593\getusage2xp.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe E:\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\gearsec.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\extrac16.exe C:\Dokumente und Einstellungen\DJ NeSSiE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [RealTray] E:\real\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\sblive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GetUsagev2] E:\Rar$EX00.593\getusage2xp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{45869402-AD98-4DEF-A6E9-76595938BD41}: NameServer = 217.237.151.225 217.237.150.225 |
|
|
||
12.11.2004, 16:53
Moderator
Beiträge: 7805 |
#5
Diese Dateien sind da!
C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\extrac16.exe Nutz mal den Weg, den Sabina dir genannt hat(Hijackthis-delete a file on reboot), oder du machst das: "Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden."(von User cidre) und schickst die DAteien an virus@protecus.de oder teste sie zumindest einmal hier: http://virusscan.jotti.dhs.org/ __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 01:36
Ehrenmitglied
Beiträge: 29434 |
#6
Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As To use: right-click and select: Install (no need to restart) Note: This will remove all entries in the "Trusted Zone" also. so bekommst du O15 - Trusted Zone: http://*.63.219.181.7 weg. Die Viren musst du natuerlich ebenfalls loeschen...am besten mit dem HijackThis. C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\extrac16.exe mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.11.2004 um 01:37 Uhr von Sabina editiert.
|
|
|
||
13.11.2004, 12:21
...neu hier
Themenstarter Beiträge: 5 |
#7
Hmmm, also das trusted zone ist nun weg!
Aber die beiden files lassen sich net ausfindig machen, obwohl ich alles gemacht habe. Logfile of HijackThis v1.98.2 Scan saved at 12:18:56, on 13.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\real\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\RUNDLL32.EXE E:\Rar$EX00.593\getusage2xp.exe E:\Logitech\MouseWare\system\em_exec.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\gearsec.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe C:\Programme\Trillian\trillian.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\IncrediMail\bin\IncMail.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe C:\Dokumente und Einstellungen\DJ NeSSiE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [RealTray] E:\real\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\sblive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GetUsagev2] E:\Rar$EX00.593\getusage2xp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{45869402-AD98-4DEF-A6E9-76595938BD41}: NameServer = 217.237.151.225 217.237.150.225 |
|
|
||
13.11.2004, 12:34
Moderator
Beiträge: 7805 |
#8
Diese Dateien sind immer noch da!
C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\extrac16.exe Nutz mal den Weg, den Sabina dir genannt hat(Hijackthis-delete a file on reboot), oder du machst das: "Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden."(von User cidre) und schicke die Dateien an virus@protecus.de oder teste sie zumindest einmal hier: http://virusscan.jotti.dhs.org/ und sage, was gemeldet wird. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 14:29
...neu hier
Themenstarter Beiträge: 5 |
#9
So hab das ganze nun mal im abgesichertem Modus laufen lassen:
Habe dort die beiden files gefunden und gelöscht. Bei EScan kam das hier: ile C:\WINDOWS\System32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken. hab ich dann manuell gelöscht und bei hijack entfernt Das ist die Log ausem abgesichertem Modus: Logfile of HijackThis v1.98.2 Scan saved at 14:21:09, on 13.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\DJ NeSSiE\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [RealTray] E:\real\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\sblive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GetUsagev2] E:\Rar$EX00.593\getusage2xp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{45869402-AD98-4DEF-A6E9-76595938BD41}: NameServer = 217.237.151.225 217.237.150.225 und die jetzige nach dem Neustart jetzt: Logfile of HijackThis v1.98.2 Scan saved at 14:27:21, on 13.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\real\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\RUNDLL32.EXE E:\Rar$EX00.593\getusage2xp.exe E:\Logitech\MouseWare\system\em_exec.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\gearsec.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe C:\Dokumente und Einstellungen\DJ NeSSiE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [RealTray] E:\real\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\sblive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GetUsagev2] E:\Rar$EX00.593\getusage2xp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{45869402-AD98-4DEF-A6E9-76595938BD41}: NameServer = 217.237.151.225 217.237.150.225 Sind nicht so doll erfolgreich aus :-( Ausserdem habe ich eine cax.zip gefunden oben wurde gefragt ob ich ne cax.cab gefunden habe. Eine Weiterleitung im IE erfolgt zum Beispiel zu dieser Seite hier. http://www.money-athome.net/ Weiss net ob das euch was hilft. MFG und Danke für die Hilfe Dieser Beitrag wurde am 13.11.2004 um 14:30 Uhr von djnessie editiert.
|
|
|
||
13.11.2004, 14:49
Moderator
Beiträge: 7805 |
#10
Du hast extreme Probleme. Einige Davon sind das:
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe und das: C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe Da die obigen Eintraege nur im abgesicherten Modus auftauchen, solltest du mal schauen ob du diese Dateien dllhostxp.exe clfmon.exe im abgesicherten Modus in C:\WINDOWS\System32 oder C:\WINDOWS\ finden kannst, wenn ja bitte an virus@protecus.de oder bei http://virusscan.jotti.dhs.org/ testen. Ich tippe mal auf eine Haxdoor Variante. Im grossen und ganzen wuerde ich dir dennoch dazu raten: http://board.protecus.de/t13019.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 17:00
Ehrenmitglied
Beiträge: 29434 |
#11
fixe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe neustarten Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen loesche: <C:\WINDOWS\System32\pxhping.exe <C:\WINDOWS\System32\mqbckup.exe <dllhostxp.exe <clfmon.exe <C:\WINDOWS\System32\msacmx.dll Lade den eScan, der loescht...und scanne im Normal-und im abgesicherten Modus. #eScan-Trial ftp://update.mailscan.info/download/tools/ http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) klicke auf: awn2k3e.exe Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.11.2004 um 17:04 Uhr von Sabina editiert.
|
|
|
||
Windows Security Center...your pc got spyware
http://www.djnessie.de/dashier.JPG
Remote Security Scanner...das popup zeigt mir dann an welches System ich verwende usw.
Ich fahre auf Windows XP SP1 mit Updates
habe eigentlich alles laufen lassen was geht...Spybot, AD-Aware, Escan
und habe auch mehrere Sachen gelöscht, aber nun wird nix mehr gefunden
ausser dieses DSO Exploit. Aber wird es daran liegen?
hoffe mir kann jemand helfen
ogfile of HijackThis v1.98.2
Scan saved at 14:55:16, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\real\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Rar$EX00.593\getusage2xp.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
E:\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
E:\Raiden\RaidenFTPD\raidenftpd.exe
C:\Programme\Nord-Vision\DynDNS-Updater\ddusrv.exe
D:\install april\FlashFXP\FlashFXP.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\extrac16.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Dokumente und Einstellungen\DJ NeSSiE\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [RealTray] E:\real\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\sblive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GetUsagev2] E:\Rar$EX00.593\getusage2xp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} -
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/static/activex/msxml4.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45869402-AD98-4DEF-A6E9-76595938BD41}: NameServer = 217.237.151.225 217.237.150.225[url][/url]