F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe |
||
---|---|---|
#0
| ||
31.01.2005, 16:36
...neu hier
Beiträge: 8 |
||
|
||
01.02.2005, 00:11
...neu hier
Themenstarter Beiträge: 8 |
#2
Hier mal ein Log mit dem Dialer, welcher mich gerade auffordert, mein Land zu wählen.
Logfile of HijackThis v1.98.2 Scan saved at 00:08:53, on 01.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\htpatch.exe F:\Quicktime6\qttask.exe C:\WINDOWS\System32\prvdi.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\dload.exe c:\127021.exe C:\WINDOWS\System32\taskmgr.exe F:\Hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Programme\STHomePage\STHomePage.dll O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\Quicktime6\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] F:\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe O4 - HKCU\..\RunOnce: [ICQ Lite] F:\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {11010101-1001-1111-1000-110112345678} - O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab Das Dreckding ist dieses hier: c:\127021.exe Ich bekomm das nicht weg. Ist nen Icon einer blonden Frau. |
|
|
||
01.02.2005, 08:41
Member
Beiträge: 1132 |
#3
Hallo CK1,
Keine Windowsupdates, kein AV und keine Firewall! Du scheinst nicht viel Mühe auf die Pflege Deines Systems zu verwenden. Arbeite bitte einmal Folgendes ab http://board.protecus.de/t9373.htm http://board.protecus.de/t12578.htm und erstelle und poste dann, falls nötig, ein aktuelles Log. Verwende aber die neueste Version von Highjackthis (1.99.0) ttp://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 01.02.2005 um 08:41 Uhr von Heron editiert.
|
|
|
||
01.02.2005, 17:38
...neu hier
Themenstarter Beiträge: 8 |
#4
Ist das normal, dass eScan so ne Stunde braucht zum downloaden der signaturen und des Öfteren mal nicht connecten kann etc?
|
|
|
||
01.02.2005, 17:49
Member
Beiträge: 1132 |
#5
Im Moment scheinen die Server bei Kaspersky wirklich sehr langsam zu sein. Auch wenn man die Homepage aufruft geht das gegenwärtig nicht sehr flott.
Ja, kann schon sein, dass beim ersten Updaten von eScan recht lange Zeit vergeht, sollte aber bei den Folgeupdates dann nicht mehr so lange gehen. Wenn Du nach einiger Zeit nicht zu einem Update-Server connecten kannst, einfach das Fenster schließen und kavupd.exe erneut starten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
01.02.2005, 18:44
...neu hier
Themenstarter Beiträge: 8 |
#6
Nach mehrmaligen Versuchen hat der Updater es geschafft, alles zu loaden und nun scanne ich bald seit einer Stunde und alten, der findet ne Menge...33 Dateien bisher sowie 60 Errors, wobei die error wohl von den Backups von Spybot etc stammen. Naja, dann wird gleich mal gesäubert
|
|
|
||
01.02.2005, 19:39
...neu hier
Themenstarter Beiträge: 8 |
#7
So, hab nun bestimmt 2 Stunden damit verbracht, alle möglichen Programme laufen zu lassen, bezüglich Firewall: Wir haben nen Router, mal gucken, ob die Firewall eingeschaltet ist.
Hier nun der neue Log von Hijackthis Logfile of HijackThis v1.99.0 Scan saved at 19:38:49, on 01.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\Malware\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\htpatch.exe F:\Quicktime6\qttask.exe C:\WINDOWS\System32\ctfmon.exe D:\steam\steam.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Malware\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mortalis.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Programme\STHomePage\STHomePage.dll O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\Quicktime6\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] F:\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe O4 - HKCU\..\RunOnce: [ICQ Lite] F:\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {11010101-1001-1111-1000-110112345678} - O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\Malware\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\Malware\AntiVir\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
01.02.2005, 20:32
Member
Beiträge: 1132 |
#8
Lade folgende Programme herunter und update sie
AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html Weiterhin herunterladen KillBox http://www.bleepingcomputer.com/files/killbox.php ClearProg final 1.4.0 http://www.clearprog.de/downloads.php Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Gehe in den abgesicherten Modus von XP (F8 drücken beim Booten), scanne mit HighjackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Programme\STHomePage\STHomePage.dll O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks.dll O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe wenn Du die Seite in R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mortalis.com/ nicht kennst => fixen Rechner neu starten Öffne die Killbox und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke jeweils das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten: C:\Programme\STHomePage\STHomePage.dll C:\Programme\STLinks\STLinks.dll C:\WINDOWS\System32\prvdi.exe Führe mit AdAware und Spybot S&D jeweils im abgesicherten und normalen Modus einen vollständigen Systemscan durch und lösche alle gefundenen kritischen Objekte. Öffne ClearProg und lösche Papierkorb, Temp-Dateien usw. Poste ein aktuelles HJTLog Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 01.02.2005 um 20:34 Uhr von Heron editiert.
|
|
|
||
01.02.2005, 21:22
...neu hier
Themenstarter Beiträge: 8 |
#9
Sodele, alles gemacht wie befohlen!
Hier der Log: Logfile of HijackThis v1.99.0 Scan saved at 21:20:38, on 01.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\Malware\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\htpatch.exe F:\Quicktime6\qttask.exe C:\WINDOWS\System32\ctfmon.exe D:\steam\steam.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Malware\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mortalis.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\Quicktime6\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] F:\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] F:\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\Malware\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\Malware\AntiVir\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
01.02.2005, 21:29
Member
Beiträge: 1132 |
#10
Hallo CK1,
denke, wir haben es geschafft Sollte jetzt bei Dir alles wieder funktionieren. Oder? Mache dringend die Windowsupdates http://www.windowsupdates.com Ein Antivirusprogramm zu installieren wäre auch nicht schlecht Du findest zahlreiche Hinweise hier im Board Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 01.02.2005 um 21:33 Uhr von Heron editiert.
|
|
|
||
01.02.2005, 21:32
...neu hier
Themenstarter Beiträge: 8 |
#11
Jop, danke vielmals, kein dialer pop up mehr, der Rechner raspelt auch nimmer so viel. Klasse!!!
Hab auch 22 Sicherheitsupdates geladen Huiui, nochmal vielen Dank! Son Board ist echt klasse. |
|
|
||
10.04.2005, 11:17
...neu hier
Beiträge: 10 |
#12
guten tag
ich habe obiges schonmehrmals versucht, doch ich wwerde dieses schwein einfach nicht los. wäre sehr froh um einen tip. sp2 ist übrigens erst seit kurzem drauf. hier der log: Logfile of HijackThis v1.99.0 Scan saved at 11:12:00, on 10.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe c:\windows\system32\lqacglz.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\prvdi.exe C:\WINDOWS\system32\dload.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\SLEE503.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\Tablet.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe c:\127021.exe D:\war*hier nicht!*\security\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 -noicon O4 - HKLM\..\Run: [iixwcm] c:\windows\system32\lqacglz.exe O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\system32\prvdi.exe O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\PANTONE COLORVISION\Startup\ColorVisionStartup.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: IEbatch (IE automation program) - {331AFAD7-55BB-49D3-A32B-510930B9FBD9} - C:\Programme\IEbatch\Bin\IEbatch.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108286855181 O17 - HKLM\System\CCS\Services\Tcpip\..\{73FFE290-9BD7-4B67-AB01-54BA1B00E2DF}: NameServer = 192.168.1.1 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Pephiddsd - Wacom Technology Corporation - (no file) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: System Startup Service - Unknown - C:\WINDOWS\svcproc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe |
|
|
||
10.04.2005, 16:22
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@rotschman
Start<Ausfuehren<regedit <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = Explorer.exe-> loeschen:--> C:\WINDOWS\Nail.exe #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll O4 - HKLM\..\Run: [iixwcm] c:\windows\system32\lqacglz.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" c:\windows\system32\lqacglz.exe C:\WINDOWS\Bolger.dll C:\WINDOWS\Nail.exe C:\WINDOWS\system32\prvdi.exe C:\WINDOWS\system32\dload.exe c:\127021.exe PC neustarten CCleaner http://www.ccleaner.com/ccdownload.asp Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) •RAV ANTIVIRUS SCAN ONLINE http://www.ravantivirus.com/scan/index.php •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php berichte von alles Scann (Log-Report)+ poste das neue Log vom HijackThis -- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2005, 11:28
...neu hier
Beiträge: 7 |
#14
Hallo....
Hab folgende .exe unten mit pfeil makiert was Prob. macht!! Wenn ich sie aus den Systemstart lösche hat offnet sie sich immer wieder unter einem anderem Namen. Was kann das für ne .exe sein.... den mal is ein tojaner oder so!! Auf alle Fälle kennt es Trojanremover und Antivierenkti 2005 nicht als Virus oder Trojaner an. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit 2005\AVKService.exe C:\Programme\AntiVirenKit 2005\AVKWCtl.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe c:\windows\system32\pdwojsz.exe <---------------------- DIESE .EXE!!! D:\system\programme\adobe\acrobat.six\Distillr\acrotray.exe D:\system\programme\adobe\acrobat.six\Distillr\acrotray.exe C:\WINDOWS\System32\svchost.exe Vielleicht hat ja jemand ne Ahnung.... bye |
|
|
||
15.04.2005, 11:33
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@nokolo
das ist ein Trojaner , ich brauch aber von dir bitte das komplette Log vom HijacktHis (es ist nicht korrekt, dass du nur die Haelfte hier apresentierst......) + silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe alles drüber laufen lassen, sprich: Ad-Aware neueste Version, Spybot S&D, Hijackthis, a² aber hilft nichts. Sie finden zwar alle was, was ich entferne, aber es taucht trotzdem wieder auf.
Spybot findet immer einen DSO Exploit mit Registry Einträgen, IMMER!
Ad-Aware findet auch den Websiteviewer Ordner, plus Dateien, die ich lösche, bringt aber auch nichts. Nach dem säubern ohne Neustart fragt mich der Dialer irgendwann wieder! Langsam werd ich sauer... Ich benutz schon gar nicht mehr IE sondern Firefox, weil IE nen Hijacker drin hat, der sich Quickmetasearch nennt sprich er stellt die Startseite immer auf Quickmetasearch um, welchen ich ebenfalls nicht entfernen konnte.
Hin und wieder, wenn ich den PC starte, geht gleich Firefox auf und will zu ner seite connecten, deren Addy ich mal aus einem anderen Forum gekalut habe. Scheint mir der gleiche zu sein:
http://www. dialeradmin .com/cgi-bin / err4.cgi?prog=ldr&ver=4.000&code=2&info=0,0&aid=123268&skid=sk001&langid=&winver=Win98;2222;6.0.2800.1106&ci=1 -12
Ich hänge mal einen Log von Hijackthis an, wäre echt super, wenn mir jemand helfen könnte.
Logfile of HijackThis v1.98.2
Scan saved at 16:35:50, on 31.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\htpatch.exe
F:\Quicktime6\qttask.exe
C:\WINDOWS\System32\prvdi.exe
C:\WINDOWS\System32\ctfmon.exe
D:\steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://quickmetasearch.com/?said=acc0000_ho
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://quickmetasearch.com/?said=acc0000_ho
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Programme\STHomePage\STHomePage.dll
O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Quicktime6\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] F:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11010101-1001-1111-1000-110112345678} -
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab