Ärger mit "W32.Sober.I@mm!enc" trotz Norton Fix Sober exe.

#0
30.11.2004, 18:29
Member

Beiträge: 13
#1 Moin, wie immer wende ich mich an das Board, wenn ich Probleme habe, sonst könnte ich ja anderen helfen.
Also: Egal wann und mit welchem Programm ich ins Internet gehe (Outlock oder Opera) immer wenn die Verbindung aufgebaut wird und Mails abgeholt werden, laufen bei Outlock 16 Emails mit dem Wurm durch, die zwar alle vom Virenscanner geschappt werden, aber ein Arbeiten schier unmöglich machen.
Noch schlimmer Opera, der trennt nach der 1. Wurmmeldung sofort und ist nicht mehr zum E-Mail abholen zu bewegen.
Trotz des schrittweisen Anwendens der Anleitung von "Fix Sober exe" bes. der Punkt Systemwiederherstellung wird nichts auf dem PC gefunden und später startet das Spielchen erneut.
Ich bin zwar über Netzwerk mit meiner Tochter verbunden, aber selbst bei getrennt Verbindung habe ich dasselbe Problem.
Die Infizierte Datei wird immer in dem Ordner:C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp gefunden und sieht so aus "CC50.tmp" wobei die Zahl auch mal 3stellig ist oder durch Zahlen ersetzt wird.
Gibt es eine Möglichkeit, dieses Problem endlich dauerhaft loszuwerden??
Vielen Dank für das Lesen des langen Artikels, aber ich wollte es so genau wie möglich beschreiben.
Mfg Ralf der Wilke
Seitenanfang Seitenende
03.12.2004, 14:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@ralf131167

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.12.2004 um 14:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.12.2004, 17:57
Member

Themenstarter

Beiträge: 13
#3 Hier anbei poste ich den Logh von Hijackthis wegen meiner Sober-Geschichte.Er ist etwas länger, da ich in letzter Zeit viel Installiert und deinstalliert habe (Norton)

Vielen Dank für eure Hilfe.
P.S. einen verdächtigen log habe ich schon gesehen, warte aber auf Antwort
Dieser Beitrag wurde am 03.12.2004 um 22:44 Uhr von ralf131167 editiert.
Seitenanfang Seitenende
03.12.2004, 22:46
Member

Themenstarter

Beiträge: 13
#4 Wie ihr gesehen habt, habe ich den logfile gelöscht, da ich inzwischen das Problem gelöst habe, fragt mich nicht wie, es lag an meiner Experimentiererei mit Nortonversionen die ich lieber noch nicht gehabt hätte ;).
Trotzdem vielen Dank vor allem an Sabina
Seitenanfang Seitenende
04.12.2004, 00:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@ralf131167

Dein Log war ziemlich verseucht...wenn du willst, poste das neue..zur Ueberpruefung

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2004, 23:21
...neu hier

Beiträge: 5
#6 Schönen guten abend zusammen,

hoffe mal mir kann hier jemand bei meinem Problem helfen, kann nämlich selber nichts mit den Ergebnissen meines hijack-scans anfangen. Habe vorhin mal den Stinger über das System laufen lassen und er fand lssas.exe,
den hat er dann auch gelöscht. wenn ich den stinger eine Stunde später nochmal scannen lasse, taucht lssas.exe wieder auf. Ich poste jetzt einfach mal den highjackthis-log. Wenn mir jemand weiterhelfen könnte, wäre ich sehr dankbar, Gruß Jack

Logfile of HijackThis v1.97.7
Scan saved at 23:14:12, on 04.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\winnt\temp\adware\fsg_4203.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\System32\wuauclt.exe
C:\DOKUMENTE UND EINSTELLUNGEN\ELOCIN\DESKTOP\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Trickler] "c:\winnt\temp\adware\fsg_4203.exe"
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7391593E-29AE-4850-8466-E749E5377931}: NameServer = 213.168.112.60 81.173.194.68
Dieser Beitrag wurde am 05.12.2004 um 12:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 12:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@JackTorrance

Update dein Windows zuerst, SP3 -->SP4 dann:

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
__________________________________________________________________________________________


HijackThis/1.99 BETA Version

Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 12:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 15:33
...neu hier

Beiträge: 5
#8 Hallo Sabina,

erstmal vielen Dank für deine schnelle Antwort, habe nun SP4 und IE6-SP1 installiert, hier nun mein zweiter Log:

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 15:36:40, on 05.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\winnt\temp\adware\fsg_4203.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\vuyee.exe
C:\WINNT\system32\wuauct1.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Elocin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Trickler] "c:\winnt\temp\adware\fsg_4203.exe"
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RSPC Driver D] vuyee.exe
O4 - HKLM\..\Run: [Microsoft Security Management] wuauct1.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] vuyee.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] wuauct1.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [RSPC Driver D] vuyee.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7391593E-29AE-4850-8466-E749E5377931}: NameServer = 213.168.112.60 81.173.194.68
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
05.12.2004, 15:55
...neu hier

Beiträge: 5
#9 Außerdem meldet stinger folgende Würmer:

Scan initiated on Sun Dec 05 15:40:28 2004

C:\WINNT\system32\SystemMgr.exe\SystemMgr.exe

Found the W32/Sdbot.worm.gen.g virus !!!

C:\WINNT\system32\SystemMgr.exe\SystemMgr.exe has been deleted.

C:\WINNT\system32\TFTP1996

Found the W32/Sdbot.worm.gen.j virus !!!

C:\WINNT\system32\TFTP1996 has been deleted.

Number of clean files: 134730

Number of infected files: 2

Number of files deleted: 2

Gruß Jack
Seitenanfang Seitenende
05.12.2004, 16:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@JackTorrance

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Trickler] "c:\winnt\temp\adware\fsg_4203.exe"
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [RSPC Driver D] vuyee.exe
O4 - HKLM\..\Run: [Microsoft Security Management] wuauct1.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] vuyee.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] wuauct1.exe
O4 - HKCU\..\Run: [RSPC Driver D] vuyee.exe

PC neustarten

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

c:\winnt\temp\adware\fsg_4203.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\WINNT\system32\vuyee.exe
C:\WINNT\system32\wuauct1.exe
C:\WINNT\system32\TFTP1996

Erst beim letzten klickst du "Yes" und startest den PC neu.

Loesche den Ordner komplett:
C:\Programme\Common files\SearchUpgrader\

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

dann arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Gehe in die Registry
Start<Ausfuehren<regedit

aendere es , falls es verstellt ist:

<HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern

<HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern

<HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=
dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
_______________________________________________________________________
Dann poste das neue Log
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 16:44 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 18:28
...neu hier

Beiträge: 5
#11 Hi Sabina,

habe nun alle Deine Ratschläge abgearbeitet, hier der hoffentlich letzte log:


Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 18:31:15, on 05.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Elocin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7391593E-29AE-4850-8466-E749E5377931}: NameServer = 213.168.112.60 81.173.194.68
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe


Gruß Jack
Seitenanfang Seitenende
05.12.2004, 18:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@JackTorrance

Das Log ist sauber :p

(hatte ich vergessen)
#kopiere noch mal ins HijackThis -->C:\WINDOWS\lssas.exe oder
C:\windows\system32\Issas.exe

Start<Ausfuehren
reinkopieren:
C:\windows\system32\Issas.exe del
<enter<

Start<Ausfuehren
reinkopieren:
C:\WINDOWS\lssas.exe del
<enter<

____________________________________________________________________
#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 19:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 19:53
...neu hier

Beiträge: 5
#13 Hallo Sabina,

vielen Dank für Deine Hilfe, wüsste ich wo Du wohnst, würde morgen der Fleurop-Bote mit einem Strauß Blumen bei dir klingeln. So bleibt mir nur: 1000 Dank!

Gruß Jack
Seitenanfang Seitenende
05.12.2004, 20:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@JackTorrance

Gruss aus Lissabon ;)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2004, 16:35
Member

Beiträge: 30
#15 Logfile of HijackThis v1.99.0
Scan saved at 16:33:03, on 30.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\Mixer.exe
D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\VVSN\VVSN.exe
D:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\HP\hpcoretech\hpcmpmgr.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\MSN Messenger\msnmsgr.exe
C:\programme\steam.exe
D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Outlook Express\msimn.exe
D:\Programme\Messenger\msmsgs.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Dokumente und Einstellungen\Patrick\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis199_beta.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ofame.de/php2/?ref=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.rwjzznwtomnodazhdogsdynyh.com/EISx3DiX_Y8P_VF5AUhdR7T30/KkybljjtUGaTiaXJ4kCRfTvbC9HeDEiFHGTd0g.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: SuperBar - {136A9D1D-1F4B-43D4-8359-6F2382449255} - D:\Programme\_SUPERBAR\_SUPERBAR.dll (file missing)
O2 - BHO: (no name) - {172A32E2-253E-4DCF-B978-2DC3903F3157} - D:\WINDOWS\System32\icaarpi.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SuperBar - {109C9DF9-5F9E-48F8-8994-1BB832E2FB1D} - D:\Programme\_SUPERBAR\_SUPERBAR.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CMESys] "D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [VVSN] D:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "D:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam.exe" -silent
O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ebates - file://D:\Programme\EbatesMoeMoneyMaker\System\Temp\ebates_script0.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: @D:\Programme\Messenger2\m2_ie_plugin.dll,-4 - {410C30C7-098A-4090-928E-F1D356D34C7F} - D:\Programme\Messenger2\m2_ie_plugin.dll (file missing)
O9 - Extra 'Tools' menuitem: Store link with e-Stalker - {410C30C7-098A-4090-928E-F1D356D34C7F} - D:\Programme\Messenger2\m2_ie_plugin.dll (file missing)
O9 - Extra button: Descarregas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-kazemule2-de\local.html (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Ebates - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC} - file://D:\Programme\EbatesMoeMoneyMaker\System\Temp\ebates_script0.htm (file missing) (HKCU)
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.8.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://217.73.66.1/del/loader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.internetclearing.de/StarInstall.ocx
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_CH.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - D:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________
mfg
G O T T
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: