Beseitigen von Spybot & Spyware |
||
---|---|---|
#0
| ||
26.01.2005, 09:12
...neu hier
Beiträge: 1 |
||
|
||
31.01.2005, 01:21
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@stan73
Das System ist voellig verseucht mit Backdoors und Viren . Das Beste waere neu zu formatieren.... .! Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Windows media service] crsss.exe O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE O4 - HKLM\..\RunServices: [Windows media service] crsss.exe O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE O4 - HKCU\..\Run: [RSPC Driver D] dbsox.exe O4 - HKCU\..\Run: [Sygate Personals Firewalls] ccrn.exe O4 - HKCU\..\Run: [Windows media service] crsss.exe O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe PC neustarten deaktiviere oder deinstalliere Symantec und lade. #Testversion "Antivirus Personal 5.0" http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/ Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)] gehe in den abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt C:\WINDOWS\System32\dbsox.exe C:\WINDOWS\System32\ccrn.exe C:\WINDOWS\System32\crsss.exe C:\WINDOWS\System32\p3.exe C:\WINDOWS\System32\YPager.EXE und mache einen Komplettscann mit kaspersky dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.01.2005 um 01:23 Uhr von Sabina editiert.
|
|
|
||
02.02.2005, 01:03
...neu hier
Beiträge: 8 |
#3
@ Sabina du hast z.B. oben geschrieben,das System ist voellig verseucht mit Backdoors und Viren. Mich interessiert mal folgendes:
-An was erkennst du in einem Log vom Hijack This, ob eine Datei mit Viren oder Backdoors verseucht ist??? An den Dateiendungen oder wo??? Manchmal steht Trojaner oder Dialer an den Endungen, dann ist es ja klar, aber woran erkennst du die anderen verseuchten Dateien??? -Kann man Internetseiten die man besuchen will, schon vorher auf Spyware und Viren ueberpruefen??? MfG SPYKILLER Dieser Beitrag wurde am 02.02.2005 um 01:04 Uhr von SPYKILLER editiert.
|
|
|
||
02.02.2005, 14:10
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@
Gib mal beispielsweise in die Suchmaschine von Google ein: crsss.exe http://www.google.com/search?hl=de&q=crsss.exe&btnG=Google-Suche&lr= Sophos Virenlexikon: W32/Rbot-SZ ... W32/Rbot-SZ kopiert sich als CRSSS.EXE in den Windows-Systemordner und erstellt Einträge in der Registrierung, so dass er beim Start aktiviert wird. ... www.sophos.de/virusinfo/analyses/w32rbotsz.html - 25k - Im Cache - Ähnliche Seiten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.02.2005 um 14:11 Uhr von Sabina editiert.
|
|
|
||
02.02.2005, 14:36
Member
Beiträge: 11 |
#5
@stan73
Hallo, erst mal! Warum, in aller Welt, benutzt Du denn in heutigen, unsicheren Zeiten, noch immer diesen bescheuerten IE? Das soll kein Vorwurf, sondern eine rein sachliche Frage sein. Versuch doch mal Mozilla oder Opera - damit fährst Du bei weitem sicherer. Es wird Dir nichts anderes übrigbleiben, als den Rat von Sabina zu befolgen und neu zu installieren. Ich lese mir immer wieder die diversen Testsieger bezüglich Antivirus usw. durch und richte mich danach. So hatte ich bis Gestern noch NOD32 als Antivirus eingesetzt und heute ist's Kaspersky Personal pro 5.014. Uns anstatt der Sygate Firewall habe ich jetzt eben Outpost installiert. Auch so kann man auf dem laufenden bleiben. Gruß - wutzbaer __________ Wer Norton nutzt und damit scannt - der hat den Virus glatt verpennt Dieser Beitrag wurde am 02.02.2005 um 14:37 Uhr von wutzbaer editiert.
|
|
|
||
19.03.2005, 23:02
...neu hier
Beiträge: 3 |
#6
Hallo ihr, ich weiss, mmh, is vielleicht schon einige Monate her, als der Thread benutzt worden ist, aber ich würde mich trotzdem um jede Hilfe, die ich von euch bekomme, freuen.
Also, mein Problem liegt da: Ich habe mit NoAdware v.3.0 einen Trojaner entdeckt, der sich in C:\Windows\System32\YPager.exe versteckt. Leider kann ich diese Datei nicht löschen, finde sie auch nirgends. Aber keine andere Antispyware software findet diesen Trojaner, nur NoAdware. Ich habe echt schon alles versucht, was man irgendwie, als Nicht-Profi tun kann. Hab es im Abgesicherten Modus versucht, mit anderen Programmen, die mir Leute empfohlen haben, etc. Und langsam bin ich echt am Verzweifeln, ey. Habe bei google.de schon nach allem geschaut, aber nichts hat mich weitergebracht. C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe C:\WINDOWS\wmupdmgr.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\AppCheck.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\system32\rvs_cent.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Norton AntiVirus\OPScan.exe C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe Ich würde mich echt freun, wenn mir jemand sagen könnte, wie ich diesen Trojaner wegbekomm... Ich danke euch nun schon einmal! Sarah aka milla |
|
|
||
19.03.2005, 23:39
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@milla
wmupdmgr.exe erscheint das : Im Task Manager, unter "Anwendungen" als "PayPal" mit demWindows Media Player logo.????? PWSteal.BStroj C:\Windows\YUpdater.exe oder: C:Windows\System32\YPager.exe •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken C:\Windows\System32\Msmsngs.exe C:\Windows\System32\YPager.exe C:\Windows\System32\YUpdater.exe C:\WINDOWS\wmupdmgr.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> ich wurd dir gern mehr helfen...aber du musst das komplette HijackTHis-Log abkopieren und posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 12:30
...neu hier
Beiträge: 3 |
#8
hey sabina,
ich danke dir, ja es kommt ein paypal zeichen mit mediaplaer logo. das hab ich auch nie wegbekommen, aber ich danke dir. ja ok, ich werde, sobald ich daheim bin, die das komplette hijackthis-log zusenden. und das andere, also die links, sind alles programme, mit denen man die spyware wegbekommt? danke dir, ich mach alles wenn ich daheim bin, bis dann... vielen dank! sarah |
|
|
||
23.03.2005, 12:54
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@milla
http://bilder.informationsarchiv.net/Nikitas_Tools/startuplist/ ( StartupList.exe ) kopiere das ab und poste es bitte+ das komplette Log vom HijackThis Mit der Killbox kannst du die Datein loeschen (waehrend des Neustarts)...die ich im Log sehen und identifizieren kann. Was allerdings die Malware betrifft, die ich NICHT sehen kann....dazu dient das Programm "escan". Es loescht nicht, aber es zeigt an. PWSteal.BStroj Both Trojans display an error message and send your IP address, host name, messenger name, and password to the hacker............ .! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 13:32
...neu hier
Beiträge: 3 |
#10
Hallo Sabina,
Logfile of HijackThis v1.99.1 Scan saved at 17:06:43, on 24.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\AppCheck.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\system32\rvs_cent.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://members.home.nl/nlspace/tedeyre.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Media Player Update Manager /background] wmupdmgr.exe O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe O4 - HKLM\..\Run: [Windows media service] crsss.exe O4 - HKLM\..\Run: [VGA Startup] vgacard.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [Start Uppings] mssupdate.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe O4 - HKLM\..\Run: [Microsoft Windows] explorar.exe O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvnms32.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\jgnimxz.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [BVdAF] C:\WINDOWS\foiekpix.exe O4 - HKLM\..\Run: [blah service] msnmsgrr.exe O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKLM\..\RunServices: [VGA Startup] vgacard.exe O4 - HKLM\..\RunServices: [Start Uppings] mssupdate.exe O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe O4 - HKLM\..\RunServices: [Windows media service] crsss.exe O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] winupdate.exe O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe O4 - HKLM\..\RunServices: [Microsoft Windows] explorar.exe O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Aatm] C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\whal.exe O4 - HKCU\..\RunServices: [Start Uppings] mssupdate.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: officejet 6100.lnk = ? O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{71CDE6B2-7291-40B4-8FFA-0AACB2C58F54}: NameServer = 217.237.151.161 217.237.151.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{71CDE6B2-7291-40B4-8FFA-0AACB2C58F54}: NameServer = 217.237.151.161 217.237.151.33 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing) O23 - Service: AppCheck - Unknown owner - C:\WINDOWS\AppCheck.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NvCplScan - Unknown owner - C:\WINDOWS\System32\nvsc32.exe" -netsvcs (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: RVS CAPI (RVS_CE) - RVS Datentechnik GmbH, Munich - C:\WINDOWS\system32\rvs_cent.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Also hab das mit der Killbox gemacht, das paypal is weg. aber der Ypager.exe wird noch bei noAdware gefunden... startuplist: StartupList report, 24.03.2005, 17:09:52 StartupList version: 1.34.0 Started from : C:\DOKUMENTE UND EINSTELLUNGEN\SARAH\DESKTOP\StartupList.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\AppCheck.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\system32\rvs_cent.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUMENTE UND EINSTELLUNGEN\SARAH\DESKTOP\StartupList.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ISDN SpeedManager = "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe" NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup Media Player Update Manager /background = wmupdmgr.exe Windows Sound Manager = SndMon32.exe Windows media service = crsss.exe VGA Startup = vgacard.exe Symantec NetDriver Monitor = C:\PROGRA~1\SYMNET~1\SNDMon.exe SVX Control Service = svxhost.exe SunJavaUpdateSched = C:\Programme\Java\jre1.5.0\bin\jusched.exe Start Uppings = mssupdate.exe SSC_UserPrompt = C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe SoundMan = SOUNDMAN.EXE Share-to-Web Namespace Daemon = C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe nwiz = nwiz.exe /install NvCplScan = nvsc32.exe Microsoft WinUpdates = serm32.exe Microsoft Windows = explorar.exe Microsoft upnp Update = msie.exe kalvsys = C:\windows\system32\kalvnms32.exe ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -minimize Cryptographic Service = C:\WINDOWS\System32\jgnimxz.exe ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" BVdAF = C:\WINDOWS\foiekpix.exe blah service = msnmsgrr.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices SVX Control Service = svxhost.exe blah service = msnmsgrr.exe DJSNetCN = C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe VGA Startup = vgacard.exe Start Uppings = mssupdate.exe Microsoft upnp Update = msie.exe Windows media service = crsss.exe Windows Sound Manager = SndMon32.exe NvCplScan = nvsc32.exe Microsoft Update = winupdate.exe Microsoft WinUpdates = serm32.exe Microsoft Windows = explorar.exe Yahoo Messenger = YPager.EXE -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe Aatm = C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\whal.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -trayboot -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices Start Uppings = mssupdate.exe -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: *Registry key not found* .scr: not hidden .shs: *Registry key not found* .shb: *Registry key not found* .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Web assistant - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: Norton AntiVirus - Meinen Computer prüfen.job Symantec NetDetect.job FRU Task #Hewlett-Packard#hp psc 2200 series#1103038460.job Norton AntiVirus - Meinen Computer prüfen - Sarah.job -------------------------------------------------- Enumerating Download Program Files: [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [PopCapLoader Object] InProcServer32 = C:\WINDOWS\Downloaded Program Files\popcaploader.dll CODEBASE = http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab -------------------------------------------------- End of report, 8.857 bytes Report generated in 0,094 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only So hab nun den escan drüberlaufen lassn, hat auch den ypager.exe gefunden hab dann alles wieder in die killbox kopiert, aber mein ypager.exe ist immer noch nich weg. wird von noadware und escan noch immer gefunden.. ich dreh langsam durch.... Dieser Beitrag wurde am 24.03.2005 um 20:34 Uhr von milla editiert.
|
|
|
||
Irgendwo habe ich mir den spybot eingefangen und habe ihn gelöscht. Aber meine Internetverbindung funktioniert nicht mehr richtig, bzw. ist langsamer geworden. Mein Upload-Kanal ist fast voll besetzt, selbst wenn der Browser IE nicht an ist (LAN Verbindung aktiv und ans Netz angeschlossen). Ich weiss nicht wass los ist, aber ich vermute dass ich ein Spy-Ding erwischt habe und das die Daten von meinem Rechner an unbekannten Empfänger gesendet werden. Mit Ad-Aware und Spybot - Search&Destroy habe ich den Rechner gescannt und kritische Objekte gelöscht. Das hat eigentlich nicht geholfen.
Bitte um Hilfe beim Beseitigen dieses Problems.
Vielen Dank im Voraus!!!!!!
Nachfolgend mein HijackThis:
ogfile of HijackThis v1.99.0
Scan saved at 00:13:03, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\NORTON~2\NORTON~2\GHOSTS~2.EXE
D:\NortonSystemWorks\Norton AntiVirus\navapsvc.exe
D:\NortonSystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\MMTray.exe
C:\USBStorage\USBDetector.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\crsss.exe
C:\WINDOWS\System32\p3.exe
C:\WINDOWS\System32\YPager.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\System32\cmd.exe
D:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\NortonSystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\NortonSystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RSPC Driver D] dbsox.exe
O4 - HKCU\..\Run: [Sygate Personals Firewalls] ccrn.exe
O4 - HKCU\..\Run: [Windows media service] crsss.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5E23CB5-B5CD-4A34-82F8-D118827339D7}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\NORTON~2\NORTON~2\GHOSTS~2.EXE
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - D:\NortonSystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\NortonSystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe