Start Upping, wvsvc, elitetoolbar

#0
04.12.2004, 16:33
...neu hier

Beiträge: 2
#1 Oh weh... ich bekomm sie nicht weg...

Ich hoffe ihr könnt mir helfen. Ich hab den AV AntiVir, RegCleaner, CWShredder und Spybot drauf, bekomm sie aber nich weg... wenn ich so nen StartingUp oder StartUpping aus der Registry lösche stellt er sich sofort wieder ein...

Ich poste euch in Hoffnung auf Hilfe wie ich die Schmarozer vielleicht manuell wegbekomme mal ein Hijackthis-Logfile!!

Tausend Dank dem der mir helfen kann!!!!!!!!!!!!!!!!!!!!!!!!!!!!


Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:32:44, on 04.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Virenscanner\AVGNT.EXE
C:\WINDOWS\regedit.exe
C:\Programme\Virenscanner\AVGUARD.EXE
C:\Programme\Virenscanner\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Regcleaner\RegCleanr.exe
C:\Wussup\hijackthis\hijackthis_1.98.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Virenscanner\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Start Upping] iexplorerupdt.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Start Upping] iexplorerupdt.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\spybot\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Start Upping] iexplorerupdt.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF487154-12CA-4CC9-BD4E-587BB40CD0D1}: NameServer = 217.237.150.97 217.237.149.161
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
Dieser Beitrag wurde am 04.12.2004 um 21:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.12.2004, 21:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Apabronsgen

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Start Upping] iexplorerupdt.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Start Upping] iexplorerupdt.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Start Upping] iexplorerupdt.exe

PC neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\System32\wvsvc.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\System32\iexplorerupdt.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

Deinstalliere deinen Virenscanner und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe ..scanne im Normal- und im abgesicherten Modus.

Gehe in die Registry
Start<Ausfuehren<regedit

ueberpruefe folgende Werte und aendere sie, falls sie nicht korrekt sind:


<HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern

<HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern

<HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=
dword:00000001 "1" --««also....in "0" [dword:00000000] aendern

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Danach die WindowsUpdates machen www.windowsupdate.com besuchen und alle Updates installieren

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.12.2004 um 21:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 02:19
...neu hier

Themenstarter

Beiträge: 2
#3 Pervers gut erklärt, ich ziehe meinen Hut Sabina!
Tausend Dank und einen fetten Kuß!!!

Ich glaub ich habs mit deiner Hilfe hingekriegt, oder siehst du noch was auffälliges in der Logfile?? -->

Logfile of HijackThis v1.98.2
Scan saved at 02:18:30, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Wussup\ESCANA~1\TRAYICOS.EXE
C:\Wussup\ESCANA~1\AVPMWrap.EXE
C:\Wussup\ESCANA~1\MAILDISP.EXE
C:\Wussup\ESCANA~1\MAILSCAN.EXE
C:\Wussup\ESCANA~1\SPOOLER.EXE
C:\Wussup\ESCANA~1\kavss.exe
C:\Wussup\ESCANA~1\AvpM.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Wussup\ESCANA~1\TRAYSSER.EXE
C:\Wussup\ESCANA~1\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Wussup\hijackthis\hijackthis_1.98.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Wussup\escanantivir\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\Wussup\ESCANA~1\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\Wussup\ESCANA~1\AVPMWrap.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF487154-12CA-4CC9-BD4E-587BB40CD0D1}: NameServer = 217.237.150.97 217.237.149.161
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll



Noch ne Frage:
Ich verwende den Netscape 7.1.... soll ich doch lieber nen anderen nehmen, und muß ich den inetexplorer trotzdem updaten??


Cheers!
Apa
Seitenanfang Seitenende
05.12.2004, 12:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Apabronsgen

Das Log ist sauber ;)

Aber du hast dir diese Backdoors eingefangen, weil dein Windows voellig ungesichert ist.
Du solltest nicht nur den IE patchen, sondern alle Updates von MS laden...ansonsten wirst du deines Lebens (PCs ) nicht mehr froh.
Das Net ist voller Muell (wenn ich mal die verschiedenen Malware so bezeichnen darf) und es reicht, ein CriticalUpdate nicht zu haben, dass der PC verseucht wird.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: