wie entfernt man w32.spybot.worm?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.03.2005, 22:22
...neu hier
Beiträge: 6 |
||
|
||
24.03.2005, 23:46
...neu hier
Beiträge: 1 |
#167
[/b]Hallo Sabina,
Ich habe genau das gleiche problem,wie die anderen! Hoffe du kannst mir weiterhelfen.... Bedanke mich schonmal im voraus.... Hier mein HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 23:45:08, on 24.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE D:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\Norton Internet Security\ccPxySvc.exe D:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Winamp\Winampa.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\wuamgd.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FSC\FSC CONNECTBIRD USB DSL-B MODEM\dslmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Opera\opera.exe C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\Home\Desktop\AntiVirus & Programme\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\Programme\WebMobil24\Auto-Pilot\startWBbar.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &WebMobil24 autopilot - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\Programme\WebMobil24\Auto-Pilot\wb24bar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Update] wuamgd.exe O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamgd.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgd.exe O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: WebMobil24 - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programme\WebMobil24\Auto-Pilot\BarBtn.exe O9 - Extra 'Tools' menuitem: Blenden Sie hier WebMobil24 Navigations Leiste ein oder aus. - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programme\WebMobil24\Auto-Pilot\BarBtn.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096135133174 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1DABCBC0-B310-4C3A-AA0C-837D33F18723}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe [/b] |
|
|
||
25.03.2005, 11:46
Ehrenmitglied
Beiträge: 29434 |
#168
Hallo@coolzapp
•KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\NDNuninstall6_38.exe C:\WINDOWS\woinstall.exe C:\WINDOWS\System32\SahHtml.exe C:\WINDOWS\System32\WebRebates_Auto_InstallSilent.exe C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SahHtml_.exe C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SAHUninstall_.exe C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.fr459E\CHCON.dll C:\Downloads\xwickedwild.exe C:\Downloads\maxbabes2005.exe C:\Programme\Web Offer\CHPON.dll PC neustarten C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.fr459E <--loeschen C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate<--loeschen Start<Ausfuehren-->%temp% --> suche kb.log (von der Killbox) und poste den Inhalt der txt-Datei #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.03.2005, 12:01
Ehrenmitglied
Beiträge: 29434 |
#169
Hallo@uandme
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) Laden Sie die Trial Version von tds-3 anti trojan von hier: http://www.diamondcs.com.au/tds/downloads/tds3setup.exe tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht. #Machen Sie ein Update. http://www.diamondcs.com.au/tds/radius.td3 #Um das Update durchzuführen --> [Rechts-klick] --> speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor installiert haben. Update radius.td3 (Die vorherige Datei radius.td3.wird so ueberschrieben ) #Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster, klicken Sie auf System testing --> full system scan #Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen. Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei). #Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread. --> dann alles loeschen #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Microsoft Update] wuamgd.exe O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamgd.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgd.exe O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe PC neustarten C:\WINDOWS\System32\wuamgd.exe <--loeschen C:\WINDOWS\System32\msmq2inst.exe <--loeschen •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten dann alles loeschen -------------------------------------------------------------------------- Download RootkitRevealer (270 KB) ** laden: http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml #Download RootkitRevealer (190 KB) #entpacken #RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus Onlinescanns --> dann alles loeschen/im abgesicherten Modus http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.03.2005, 13:24
...neu hier
Beiträge: 4 |
#170
hi, ich bin neu hier!
ich weiß nicht genau, ob ich das selbe problem hab, aber.. naja als ich meinen worm bei google eingab kam ich hierher. mein anti viren prog (F-secure)sagt ca. alle 10-20 minuten ich habe Trojan-Downloader.Win32.Swizzor.co - es wird immer eine exe-datei erstellt, die jedesmal anderes heißt. f-secure kann die datei nur umbennen. |
|
|
||
25.03.2005, 17:56
Ehrenmitglied
Beiträge: 29434 |
#171
Hallo@mistake
Dein Problem hat nichts mit dem zu tun: (Thread wie entfernt man w32.spybot.worm? ) http://board.protecus.de/t16348.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.03.2005, 00:21
...neu hier
Beiträge: 6 |
#172
Hallo Sabina,
hier der txt von kb.log C:\Programme\Web Offer\wo.exe C:\Programme\Web Offer\wo.exe Delete on Reboot C:\Programme\QuickSearch Delete on Reboot C:\Programme\Web_Rebates Delete on Reboot C:\Programme\Common Files\updmgr Delete on Reboot C:\Programme\Web Offer Delete on Reboot C:\Programme\Web_Rebates C:\Programme\Web_Rebates Delete on Reboot C:\Programme\Common Files\updmgr Delete on Reboot C:\Programme\Web_Rebates Delete on Reboot C:\WINDOWS\NDNuninstall6_38.exe Delete on Reboot C:\WINDOWS\woinstall.exe Delete on Reboot C:\WINDOWS\SYSTEM32\SahHtml.exe Delete on Reboot C:\WINDOWS\SYSTEM32\WebRebates_Auto_InstallSilent.exe Delete on Reboot C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SahHtml_.exe Delete on Reboot C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SAHUninstall_.exe Delete on Reboot C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.fr459E\CHCON.dll Delete on Reboot C:\Downloads\xwickedwild.exe Delete on Reboot C:\Downloads\maxbabes2005.exe Delete on Reboot C:\Programme\Web Offer\CHPON.dll Delete on Reboot Schon mal vielen Dank für Deine Bemühungen, hat mir schon sehr geholfen. Gruß coolzapp |
|
|
||
27.03.2005, 20:02
...neu hier
Beiträge: 4 |
#173
hi sabina!
hab neu formatiert, sollte also alles okay sein, kannst du trotzdem noch mal schaun? z.t. sind vorher rot markierte einträge noch/wieder da. danke katha hier mein highjackthis file: Logfile of HijackThis v1.99.1 Scan saved at 20:00:34, on 27.03.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\internat.exe C:\Programme\ArcorOnline\Arcor.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{76B958B9-804F-49F1-A986-8BB384766799}: NameServer = 195.50.140.252 145.253.2.81 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Dieser Beitrag wurde am 27.03.2005 um 20:11 Uhr von katha editiert.
|
|
|
||
27.03.2005, 20:17
Ehrenmitglied
Beiträge: 29434 |
#174
katha
Wie der Name schon andeutet, hat dieser Prozess mit dem Gebietsschema, welches auf Ihrem PC eingerichtet ist, zu tun. Je nachdem welchen Schemen bei Ihnen eingerichtet sind, sorgt dieser Prozess für die entsprechende Darstellung und Nutzung (Tastatur). Wichtig: Die Datei "internat.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei internat.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager. http://www.neuber.com/taskmanager/deutsch/prozess/internat.exe.html ------------------------------------------------------------------------------- #Windows-Dienste abschalten"! http://www.dingens.org/ Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. [B] Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2005, 23:21
...neu hier
Beiträge: 6 |
#175
Hallo Sabina,
hatte das neue hijacklog vergessen. Hier das neue Logfile. Logfile of HijackThis v1.99.1 Scan saved at 01:08:09, on 27.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\System32\DSentry.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\ArcorOnline\Arcor.exe C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Carsten\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C27F9B1B-D4B1-421E-9FBA-856AF5EEEBA1}: NameServer = 62.53.190.68 193.189.244.205 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe Gruß coolzapp |
|
|
||
28.03.2005, 23:44
Ehrenmitglied
Beiträge: 29434 |
#176
Hallo@coolzapp
Kennst du das ? O17 - HKLM\System\CCS\Services\Tcpip\..\{C27F9B1B-D4B1-421E-9FBA-856AF5EEEBA1}: NameServer = 62.53.190.68 193.189.244.205 wenn nicht --> fixen, noch mal mit escan im abgesicherten Modus scannen und kopiere alles raus, was noch "infected" ist. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.03.2005, 15:39
...neu hier
Beiträge: 2 |
#177
Hallo Sabrina,
ein Kollege von mir hat sich auf'm Firmenrechner den W32.Spybot.Worm eingefangen. Hab schon mit mehreren Virenscannern versucht den Burschen weg zu bekommen... leider ohne erfolg... Hoffe du kanns mir helfen... Logfile of HijackThis v1.99.1 Scan saved at 14:17:08, on 29.03.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\CTSvcCDA.exe C:\WINNT\system32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\WMPCI54G WLAN Monitor\WLService.exe C:\WINNT\system32\svchost.exe C:\Programme\WMPCI54G WLAN Monitor\WMP54G.exe C:\WINNT\Explorer.EXE C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\internat.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\WINNT\system32\taskmgr.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE G:\Software\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: WLSVC - Unknown owner - C:\Programme\WMPCI54G WLAN Monitor\WLService.exe" "WMP54G.exe (file missing) Gruß BassKillaz |
|
|
||
29.03.2005, 16:58
Ehrenmitglied
Beiträge: 29434 |
#178
Hallo@BassKillaz
Wenn es ein Firmenrechner ist, so sollte es auch einen Netz-Administrator geben, dem du das Missgeschick berichten solltest, also nichts allein rumstellen...... Onlinescanns http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp 2. Schritt: Erkennungstoolloescht nicht, zeigt nur an) •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.03.2005, 21:34
...neu hier
Beiträge: 5 |
#179
hi sabina wie ich sehe bist du hier so eine art cleanerin könntest du dir das bitte auch anschauen? und mir weiterhelfen
Logfile of HijackThis v1.99.1 Scan saved at 16:12:49, on 29.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\explorex32.exe C:\Programme\Lexmark 5200 series\lxbtbmgr.exe C:\Programme\Lexmark 5200 series\lxbtbmon.exe C:\WINDOWS\royoak.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Chaburski\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [USB Hardware326 Monitoring] USBhardware326.exe O4 - HKLM\..\Run: [IExplorer32c Java Scripting] IExplore32cb.exe O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] explorex32.exe O4 - HKLM\..\Run: [Windows Compliant] hgebgr.exe O4 - HKLM\..\Run: [IExplorer6 Java Scripting] IExplore326.exe O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe O4 - HKLM\..\Run: [Bin Personal Firewall] binetc.exe O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe" O4 - HKLM\..\Run: [6ufFD] C:\WINDOWS\royoak.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\RunServices: [USB Hardware326 Monitoring] USBhardware326.exe O4 - HKLM\..\RunServices: [IExplorer32c Java Scripting] IExplore32cb.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] explorex32.exe O4 - HKLM\..\RunServices: [Windows Compliant] hgebgr.exe O4 - HKLM\..\RunServices: [IExplorer6 Java Scripting] IExplore326.exe O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe O4 - HKLM\..\RunServices: [Bin Personal Firewall] binetc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] explorex32.exe O4 - HKCU\..\Run: [IExplorer32c Java Scripting] IExplore32cb.exe O4 - HKCU\..\Run: [Mcafee Antivirus Monitoring System32mn] VSStatmn32.exe O4 - HKCU\..\Run: [USB Hardware326 Monitoring] USBhardware326.exe O4 - HKCU\..\Run: [Bin Personal Firewall] binetc.exe O4 - HKCU\..\Run: [Windows Compliant] hgebgr.exe O4 - HKCU\..\Run: [IExplorer6 Java Scripting] IExplore326.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A70B0767-55F3-48D6-B110-48D1A772F8B8}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe ich wäre dir sehr verbunden wenn du mir weiterhelfen könntest oder dich bei mir melden könntest in msn abbas30184@hotmail.com oder icq 162732700 vielen dank! |
|
|
||
29.03.2005, 23:32
Member
Beiträge: 441 |
#180
Zitat kmaro postete Sehr interessant. Was versprichst Du Dir davon?! Siehe auch http://board.protecus.de/t16432.htm __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
habe jetzt den Scan fertige und poste dir das Ergebnis
Wed Mar 23 22:01:58 2005 => File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:02:05 2005 => File C:\WINDOWS\woinstall.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:03:28 2005 => File C:\WINDOWS\System32\SahHtml.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:03:47 2005 => File C:\WINDOWS\System32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:20:04 2005 => File C:\DOKUME~1\Carsten\LOKALE~1\Temp\SahUpdate\SahHtml_.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:20:04 2005 => File C:\DOKUME~1\Carsten\LOKALE~1\Temp\SahUpdate\SAHUninstall_.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:20:13 2005 => File C:\DOKUME~1\Carsten\LOKALE~1\Temp\temp.fr459E\CHCON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:41:58 2005 => File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SahHtml_.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:41:58 2005 => File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SAHUninstall_.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:42:04 2005 => File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.fr459E\CHCON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:43:14 2005 => File C:\Downloads\maxbabes2005.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:43:16 2005 => File C:\Downloads\xwickedwild.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
Wed Mar 23 22:58:06 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Mar 23 23:21:47 2005 => File C:\Programme\Web Offer\CHPON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:10:05 2005 => File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:15:51 2005 => File C:\WINDOWS\SYSTEM32\SahHtml.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:16:29 2005 => File C:\WINDOWS\SYSTEM32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:16:56 2005 => File C:\WINDOWS\woinstall.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:42:43 2005 => File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SahHtml_.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:42:43 2005 => File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\SahUpdate\SAHUninstall_.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:42:52 2005 => File C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\Temp\temp.fr459E\CHCON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus. Action Taken: No Action Taken.
Thu Mar 24 00:44:16 2005 => File C:\Downloads\xwickedwild.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
Thu Mar 24 01:07:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Mar 24 01:41:57 2005 => File C:\Programme\Web Offer\CHPON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus. Action Taken: No Action Taken.
Thu Mar 24 02:33:35 2005 => File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Thu Mar 24 02:39:19 2005 => File C:\WINDOWS\SYSTEM32\SahHtml.exe infected by "not-a-virus:AdWare.Sahat.j" Virus. Action Taken: No Action Taken.
Thu Mar 24 02:39:58 2005 => File C:\WINDOWS\SYSTEM32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.
Thu Mar 24 02:40:22 2005 => File C:\WINDOWS\woinstall.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.
Ich hoffe das da noch was zu retten ist oder ist mein Rechner auch zu sehr verseucht???
Vielen Dank schon mal für Deine Hilfe
Gruß Coolzapp