017 IP-Adresse in der Registry...

#0
20.01.2005, 00:13
...neu hier

Beiträge: 2
#1 Hallo,
ich glaube daß zumindest einer wenn nicht mehrere Einträge entfernt werden sollen, bin mir aber leider nicht sicher, ich habe Angst eine Systemdatei zu löschen: Ich denke, daß o17 entfernt gehört

C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\download\hijackthis1982\HijackThis.exe
C:\WINDOWS\regedit.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89A63851-F000-4C3A-8706-3F9DD8CF3FFB}: NameServer = 217.237.151.97 217.237.150.33

mir kommt mittlerweile auch slserv.exe verdächtig vor....
Dieser Beitrag wurde am 20.01.2005 um 00:21 Uhr von ChrisN editiert.
Seitenanfang Seitenende
20.01.2005, 00:31
Member
Avatar Malkesh

Beiträge: 669
#2 eScan, AdAware, Spybot S&D benutzen und im abgesicherten Modus scannen.
Wenn eScan fündig wird -> Log speichern -> mit Editor öffnen -> nach "infected" suchen -> betroffene Zeilen komplett hier posten

danach neues HijackThis-Log erstellen und bitte vollständig (!!) posten. Dein momentanes ist leider nicht vollständig, es fehlen wichtige Systeminformationen. Ansonsten übergeb ich an die Profis ;)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
20.01.2005, 00:50
...neu hier

Themenstarter

Beiträge: 2
#3 AdAware hab ich bereits drübergelassen waren eigentlich nur cookies; escan hat jetzt leider einen Virus bzw Trojaner gefunden: explorer.dll - ScKeylog

Vielen Dank ich melde mich wieder wenn ich diesen nicht loswerden sollte.

Chris
Seitenanfang Seitenende
20.01.2005, 08:41
Member
Avatar Malkesh

Beiträge: 669
#4 Zu deiner Information:

File Name: explorer.dll
Description: File explorer.dll may be dropped to your computer by backdoor program named Backdoor.IRC.Ratsou.B, which is a Backdoor Trojan Horse that allows hackers to take full control over your computer.

Ich würde dir raten alle deine wichtigen Passwörter umgehend zu ändern nachdem du diesen Übeltäter wieder los bist. (speziell Online-Banking!). Denn wenn du des Englischen mächtig bist, kannst du aus dieser Beschreibung und dem namen ScKeylog sicher ähnliches herausdeuten wie ich.

Hast du die Datei schon gelöscht? Lief eScan danach ohne weitere Viren-Meldungen durch? (bedenke das eScan nur scannt und nicht löscht! Außerdem wäre es besser die ganze Zeile des eScan logs zu posten -> mehr Information!) Hast du ein neues HijackThis-Log parat? Was ist mit Spybot S&D?
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: