O15 - Trusted IP range: 206.161.125.149 |
||
---|---|---|
#0
| ||
23.12.2004, 19:52
Ehrenmitglied
Beiträge: 29434 |
||
|
||
23.12.2004, 19:55
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@Simonis
Das sieht nach einem Startseitentrojaner aus (der wahrscheinlich noch aktiv ist ? ) Lade #Antivirus (free) http://www.free-av.de/ [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien scanne und poste mir das Scan-Log. Dann gehe in die Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche komplett: 206.161.125.149 (HKLM) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.12.2004, 17:15
...neu hier
Beiträge: 4 |
#3
Hallo Sabina,
zunächst einmale vielen Dank für deine Antwort. Ich habe den Antivirus (free) http://www.free-av.de/ heruntergeladen. Über die Suche-Funktion wurden mir 2 Dateien mit dem Namen "Registry" angzeigt (Symbol wie ein "S"), die ich sogleich öffnete. Daraufhin hat der Norton in beiden Fällen Alarm geschlagen, in dem er die geöffneten Registry-Dateien als "bösartige Skripte" identifizierte. Diese habe ich inaktiviert (oder gelöscht). Das neue Problem: Der Computer braucht ewig zum hochfahren und stürzt, wenn er überhaupt ins Internet gelangt, nach kurzer Zeit ab. Woran könnte dies liegen? An der Norton-Desinfektion der Reg-Dateien oder weil mein PC mit nun 2 Antiviren-Programmen überlastet ist? Ich bin momentan nicht am eigenen PC und kann das Problem nicht vor nächster Woche angehen. Es wäre aber sehr nett von dir, falls du eine Lösung hast, diese mir zukommen lassen könntest. Danke, Simonis |
|
|
||
01.01.2005, 00:52
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Hallo@simonis
Ja, das liegt an den 2 Antivirenprogrammen. Deinstalliere den Antivirus wieder .. lade das tool escan (keine Konflikte mit dem Symantec) --------------------------------------------------------------------------------------------- «Windows Me http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924 #eScan-Erkennungstool ftp://mwti.matrix.lv/download/tools/ erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml loeschen temporaere Dateien C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche: 206.161.125.149 (HKLM) und poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.01.2005 um 01:57 Uhr von Sabina editiert.
|
|
|
||
Scan saved at 23:44:06, on 22.12.2004
Platform: Windows ME (Win9x 4.90.3000A)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\TEMP\TD_0011.DIR\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .pdb: C:\PROGRA~1\INTERN~1\PLUGINS\npchime.dll
O12 - Plugin for .xyz: C:\PROGRA~1\INTERN~1\PLUGINS\npchime.dll
O12 - Plugin for .mol: C:\PROGRA~1\INTERN~1\PLUGINS\npchime.dll
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
Könntest du den File kurz durchchecken? Ist er mit Ausnahme von 015 ok??
O 15 bekomme ich leider nicht weg. Möglicherweise sind diese Einträge identisch mit den 2 Einträgen (logfiles) des Spydoctors (slotchbar und eUniverse?).
Wäre super-nett, wenn du eine laienmäßige Erklärung abgeben könntest?
Danke im Voraus, Simonis
__________
MfG Sabina
rund um die PC-Sicherheit