Hijacker VX 2 kann nicht gelöscht werden.

#0
09.02.2005, 21:10
Member

Beiträge: 1132
#46 Mache die ausstehenden Windows-Updates auf www.windowsupdates.com

eScan
Du hast nicht alle infizierten Dateien gepostet (nur 5), die Scan-Summary zeigt aber 13 gefundene an! Bitte immer alle Zeilen mit "infected" aus dem Log posten!!!

Deaktiviere die XP-Systemwiederherstellung

Gehe in den abgesicherten Modus von XP

Fixe mit HJT:
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe

Windows-Explorer öffnen => Extras => Ordneroptionen => Ansicht
und dort das Häkchen bei "Geschütze Systemdateien ausblenden" entfernen und "alle Dateien anzeigen" wählen => OK

Suche mit dem Explorer svcshost.exe

Lösche mit Killbox (wie beschrieben)
svcshost.exe (mit vollständiger Pfadangabe)
C:\!Submit\svphost.exe
C:\WINDOWS\SYSTEM32\cdplay~1.man
C:\WINDOWS\SYSTEM32\kgygaavl.sys
C:\WINDOWS\SYSTEM32\logonu~1.man
C:\WINDOWS\SYSTEM32\ncpacp~1.man
C:\WINDOWS\SYSTEM32\nwccpl~1.man
C:\WINDOWS\SYSTEM32\sapicp~1.man
C:\WINDOWS\SYSTEM32\window~1.man
C:\WINDOWS\SYSTEM32\wuaucp~1.man

Rechner neu starten

Der Forbot-Wurm scheint immer noch aktiv zu sein. Gehe auf
http://www.sophos.de/support/disinfection/forbot.html
und führe auf der Seite den Link
FORBOTGUI
aus (Forbot Reinigungstool)

Mache noch einmal einen Scan mit dem eScan (upgedated) im abgesicherten Modus.

Poste alle "infected" Zeilen aus dem eScan Log und ein aktuelles HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
09.02.2005, 21:17
Moderator

Beiträge: 7805
#47 Bitte nicht loeschen:
C:\WINDOWS\SYSTEM32\cdplay~1.man
C:\WINDOWS\SYSTEM32\logonu~1.man
C:\WINDOWS\SYSTEM32\ncpacp~1.man
C:\WINDOWS\SYSTEM32\nwccpl~1.man
C:\WINDOWS\SYSTEM32\sapicp~1.man
C:\WINDOWS\SYSTEM32\window~1.man
C:\WINDOWS\SYSTEM32\wuaucp~1.man

Diese Datei umbenennen:
C:\WINDOWS\SYSTEM32\kgygaavl.sys
hier testen http://virusscan.jotti.org/ oder an vrus@rokop-security.de schicken, wenn es keine Infos bei Jotti zu der Datei gibt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.02.2005, 09:23
Member

Themenstarter

Beiträge: 26
#48 Hi!

hab alles so gemacht, wie ihr gesagt habt.

Escan hat nichts mehr gefunden:



Log

Fri Feb 11 22:44:14 2005 => ***** Scanning complete. *****

Fri Feb 11 22:44:14 2005 => Total Files Scanned: 111906
Fri Feb 11 22:44:14 2005 => Total Virus(es) Found: 0
Fri Feb 11 22:44:14 2005 => Total Disinfected Files: 0
Fri Feb 11 22:44:14 2005 => Total Files Renamed: 0
Fri Feb 11 22:44:14 2005 => Total Deleted Files: 0
Fri Feb 11 22:44:14 2005 => Total Errors: 7
Fri Feb 11 22:44:14 2005 => Time Elapsed: 03:20:42
Fri Feb 11 22:44:14 2005 => Virus Database Date: 2005/02/10
Fri Feb 11 22:44:14 2005 => Virus Database Count: 117864

Fri Feb 11 22:44:14 2005 => Scan Completed.

Fri Feb 11 22:48:36 2005 => Virus Database Date: 2005/02/10
Fri Feb 11 22:48:36 2005 => Virus Database Count: 117864
Fri Feb 11 22:48:42 2005 => AV Library Unloaded (3)...


Hijackthis sagt folgendes:

Logfile of HijackThis v1.99.0
Scan saved at 09:16:13, on 12.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


DLL-Compare Log:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\bootstat.dat Fri 11 Feb 2005 14:58:00 A.S.. 2.048 2,00 K
C:\WINDOWS\fŽcher.bmp Sat 18 Aug 2001 13:00:00 A.... 26.680 26,05 K
C:\WINDOWS\window~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K
C:\WINDOWS\winnt.bmp Sat 18 Aug 2001 13:00:00 ..SH. 48.680 47,54 K
C:\WINDOWS\winnt256.bmp Sat 18 Aug 2001 13:00:00 ..SH. 48.680 47,54 K
________________________________________________

236 items found: 151 files (4 H/S), 85 directories (45 H/S).
Total of file sizes: 10.269.328 bytes 9,79 M

Administrator Account = Wahr

AppInit_DLLs value = wbsys.dll (not hidden)
--------------------End log---------------------


Das Forbot-Erkennungstool und der Jotti-Onlinescan haben ebnfalls nichts verdächtiges gefunden, genauso wie Norton, das ich auch noch mal aktualisiert habe. Ist jetzt etwa alles ok?

Gruß,

Bijan
Seitenanfang Seitenende
12.02.2005, 09:59
Member

Beiträge: 1132
#49 Das Log sieht gut aus, und wenn eScan nichts mehr gefunden hat, dann scheinst Du es überstanden zu haben. ;)

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 12.02.2005 um 10:00 Uhr von Heron editiert.
Seitenanfang Seitenende
13.02.2005, 12:58
Member

Themenstarter

Beiträge: 26
#50 Sollte es etwa die Möglichkeit sein?
Vielen, vielen Dank für Eure Hilfe!
Ich werde das Protecus-Board jederzeit weiter empfehlen!
Super cool!
Vielen Dank Euch, Jungs!

Grüße,

Bijan
Seitenanfang Seitenende
13.02.2005, 13:38
Member

Beiträge: 1132
#51 Nicht vergessen, die Systemwiederherstellung wieder zu aktivieren!
Und immer regelmäßig (mind. einmal im Monat) die Windows-Updates machen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
03.03.2005, 20:33
...neu hier

Beiträge: 6
#52 Ich habe genau die gleichen Probleme wie Bijan...

hab jetzt auch schbon einiges gelesen und probiert. doch es geht einfach nicht weg.
- es öffnet sich einfach eine seite im IE namens a-d-a-w-a-r-e
- " " blazefind
- " " loadingwebsite

hier ist mal mein HJT Log...

Logfile of HijackThis v1.98.2
Scan saved at 19:41:32, on 03.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CpuIdlePro\cpuidle.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
d:\Programme\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdlePro\cpuidle.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Startup: Connection through Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O15 - Trusted Zone: http://www.fujitsu-siemens.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB3DE5B-CBEE-45DB-AAC8-F43C832AD314}: NameServer = 217.146.128.3 217.146.128.4
Seitenanfang Seitenende
03.03.2005, 21:07
Member

Beiträge: 1132
#53 Hallo K-MEL,

Fixe mit HJT (Häkchen setzen und "Fix checked" drücken)
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

Rechner neu starten

Lade Dir herunter
Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Programm entpacken, starten und 'Restore Original Hosts' drücken => 'OK' =>
Exit Program

Aktuelles HJT Log erstellen und posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 03.03.2005 um 21:08 Uhr von Heron editiert.
Seitenanfang Seitenende
03.03.2005, 21:10
...neu hier

Beiträge: 6
#54 Hätte dazu sagen sollen, das ich mit HJT diese dinger schon im abgesicherten udn im normalen gefixed hatte, sie aber immer wieder gekommen sind. :-( trotzdem probier ich es mal so wie du sagtest..
Seitenanfang Seitenende
03.03.2005, 21:12
Member

Beiträge: 1132
#55 Deaktiviere vor der Aktion die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften)!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 03.03.2005 um 21:12 Uhr von Heron editiert.
Seitenanfang Seitenende
03.03.2005, 21:17
...neu hier

Beiträge: 6
#56 Zu spät... :-( habs schon durchgeführt...
aber es "scheint" weg zu sein... ich danke erstmal, vll bin ich auch bald wieder hier.*G*

Logfile of HijackThis v1.98.2
Scan saved at 21:14:49, on 03.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ICQ\ICQNet.exe
C:\Programme\CpuIdlePro\cpuidle.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
D:\Programme\HijackThis.exe

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdlePro\cpuidle.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Startup: Connection through Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O15 - Trusted Zone: http://www.fujitsu-siemens.de
Seitenanfang Seitenende
03.03.2005, 21:24
Member

Beiträge: 1132
#57 Na, klappt doch!

Deaktiviere die Systemwiederherstellung trotzdem, starte den PC neu und aktiviere sie wieder, um sicher zu gehen, dass auch die Malware im "System Volume Information" Ordner gelöscht wurde. Ansonsten hast Du sie wieder drauf wenn Du einmal Dein System wiederherstellst.

Ansonsten sieht Dein Log sauber aus. Allerdings hast Du nicht die aktuellste Version von HJT verwendet. Du findest den Link hier im Board. Vielleicht postest Du noch einmal ein Log mit dieser neuesten Version.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
04.03.2005, 10:44
...neu hier

Beiträge: 6
#58 Logfile of HijackThis v1.99.1
Scan saved at 10:44:04, on 04.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CpuIdlePro\cpuidle.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\Benni\Lokale Einstellungen\Temp\HijackThis.exe

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdlePro\cpuidle.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Startup: Connection through Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O15 - Trusted Zone: http://www.fujitsu-siemens.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB3DE5B-CBEE-45DB-AAC8-F43C832AD314}: NameServer = 217.146.128.3 217.146.128.4
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\i442leho1h4c.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
Seitenanfang Seitenende
04.03.2005, 12:28
Member

Beiträge: 1132
#59 Kennst Du diesen Eintrag bzw. diese Anwendung?

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\i442leho1h4c.dll
wenn nicht => Fixen mit HJT => Rechner neu starten => C:\WINDOWS\system32\i442leho1h4c.dll löschen

Ansonsten ist alles o.k.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
04.03.2005, 12:47
...neu hier

Beiträge: 6
#60 Nö, kenne ich nicht.
Sehe ich aber erst jetzt durch die neue version...

Werds mal raushauen.

Aber was ist das

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe


und das

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB3DE5B-CBEE-45DB-AAC8-F43C832AD314}: NameServer = 217.146.128.3 217.146.128.4
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: