System32 (trojaner? oder virus?) need Help |
||
---|---|---|
#0
| ||
24.03.2005, 15:18
...neu hier
Beiträge: 4 |
||
|
||
24.03.2005, 15:21
Member
Beiträge: 669 |
#2
http://board.protecus.de/t16317.htm
Kleine Anleitung + weiterführende Links kannst du dort nachlesen. Arbeite das vielleicht zuerst einmal durch. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
24.03.2005, 15:30
...neu hier
Themenstarter Beiträge: 4 |
#3
hm danke ich bin grad am lesen aber so ganz versteh ich das nich :/
mit Ad-Ware hab ich gestern übrigens auch schon gescannt. is nix entdeckt worden. |
|
|
||
24.03.2005, 15:36
Member
Beiträge: 669 |
#4
wo liegt denn das genaue verständnis problem?
__________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
24.03.2005, 15:57
...neu hier
Themenstarter Beiträge: 4 |
#5
so hab einen hijack this check gemacht
------------- Logfile of HijackThis v1.99.1 Scan saved at 15:58:52, on 24.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Dokumente und Einstellungen\Jens Rottmann\Eigene Dateien\RefreshLock.exe C:\Programme\Opera\opera.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Jens Rottmann\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roughnecks.net.tc/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] "nwiz.exe " /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] "SOUNDMAN.EXE" O4 - HKLM\..\Run: [ScanRegistry] "C:\W" O4 - HKLM\..\Run: [BigDogPath] "C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K" O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [SearchUpgrader] "C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Steam] "" O4 - Startup: Verknüpfung mit RefreshLock.exe.lnk = C:\Dokumente und Einstellungen\Jens Rottmann\Eigene Dateien\RefreshLock.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097875273156 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC81C1B-CAF0-4D15-822C-F6A9A94C90BC}: NameServer = 217.9.42.98 217.9.47.254 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe ---------------- shredder und spybot haben nix gefunden... ich surfe übrigens mit Opera und nicht mit dem IE Dieser Beitrag wurde am 24.03.2005 um 16:03 Uhr von Realness editiert.
|
|
|
||
24.03.2005, 16:05
Member
Beiträge: 669 |
#6
Dann folge weiterhin der Anleitung und lass es zunächst einmal bei www.hijackthis.de auswerten, sowie die anderen Tools zum scannen und cleanen drüber laufen.
Wie du an der automatischen Log-Auswertung sehen kannst hast du nämlich ein paar Dinge auf deinem System die da nicht hingehören. Fixe alle bösen, unnötigen und unbekannten Einträge die du nicht kennst bis auf: O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing diesen Eintrag lässt du drin. Sofern du Englisch kannst, lese dir Aufmerksam die Anleitung auf folgender Seite durch und lade das Tool LSPFix herunter: http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm Führe das Tool aus, setze das Häkchen bei "I know what I'm doing" Wähle nur die Datei "xfire_lsp_10650.dll" aus und drücke danach auf ">>" um die Datei auf die rechte Seite zu bringen. Abschließend drücke auf "Finish >>" __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
24.03.2005, 16:44
...neu hier
Themenstarter Beiträge: 4 |
#7
habe mein problem gelöst!
danke Malkesh! ich werde das board hier auf jedenfall weiter empfehlen! super service und beratung und natürlich werde auch ich euch weiterhin konsultieren,wenn ich probleme habe! dankeeee |
|
|
||
Ich habe seit vorgestern ein Problem. Undzwar öffnet sich jetzt jedesmal nach dem ich Windows XP hochgefahren habe der Syste32 Ordner. Ich habe keine Ahnung warum. Ich habe im Autostartverzeichnis nachgesehen und nix gefunden. Ich habe ausserdem den Advanced Startup Manager wo ich diesen Prozess ebenfalls nicht auswendig gemacht habe.
Ich habe gestern einige Freunde gefragt und die hatten unter anderem auch die Theorie, dass es ein Trojaner oder Virus sein könnte. Ich habe daher gestern einen Kompletten Systemcheck mit "AntiVir" gemacht. Jedoch fand das Programm garnichts.
Wer AntiVir kennt weiss sicherlich, dass wenn man das Programm startet es einen kurzen Durchlaufmacht wo er "initialisierung,speichertest,bootsektor" usw. testet. Er markiert bei mir alles mit einem "OK" bist auf "systemcheck" , wo er "WARNING" sagt.
Meine Frage:
Wenn es ein Trojaner oder Virus ist, wie kann ich ihn entfernen?
Warum erkennt AntiVir es in der Überprüfungssequenz,aber nicht wenn ich konkret nach Viren scanne??
Ich danke euch jetzt schon mal für eure Hilfe!
Gruß aus Berlin