popuper.exe und keine ahnung von hijackthis |
||
---|---|---|
#0
| ||
16.04.2005, 02:09
...neu hier
Beiträge: 8 |
||
|
||
16.04.2005, 09:02
Member
Beiträge: 1132 |
#2
Hallo Akroma,
HijackThis 1.99.1 http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Installiere das Programm in einem eigenen Ordner. Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
16.04.2005, 12:19
...neu hier
Themenstarter Beiträge: 8 |
#3
Danke für die schnelle Antwort! Ich glaube zwar, dass Problem behoben zu haben, indem ich die exe mit Killbox gelöscht hab, aber wäre nett wenn Du trotzdem mal die Liste überfliegen könntest, und mir sagen könntest was davon auch oder unbedingt weg muss, denn ich bin da etwas skeptisch und sowieso finde ich sind es ziemlich viele Prozesse die da bei mir laufen, aber wie gesagt, ich hab voll keine Ahnung von dem ganzen... oO
Gruß Akroma Logfile of HijackThis v1.99.1 Scan saved at 12:11:45, on 16.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\msole32.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\ICQ\Icq.exe C:\WINNT\system32\mspaint.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: AdwareFilter - {1028F737-81E7-452B-A860-E50CAD90A08C} - blank (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Microsoft AntiSpyware helper - {585F6C64-3768-443A-BFEA-D8B2B5B4C283} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {585F6C64-3768-443A-BFEA-D8B2B5B4C283} - (no file) (HKCU) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
|
|
||
16.04.2005, 13:00
Member
Beiträge: 1132 |
#4
Hi Akroma,
System updaten bei www.windowsupdates.com Installiere Dir ein Antivirprog und eine Firewall (Infos hier im Board zu Hauf) Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O3 - Toolbar: AdwareFilter - {1028F737-81E7-452B-A860-E50CAD90A08C} - blank (file missing) O9 - Extra button: Microsoft AntiSpyware helper - {585F6C64-3768-443A-BFEA-D8B2B5B4C283} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {585F6C64-3768-443A-BFEA-D8B2B5B4C283} - (no file) (HKCU) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Rechner neu starten Teste die nachfolgenden Dateien bei Jotti's Malware Scan http://virusscan.jotti.org/ C:\WINNT\system32\msole32.exe C:\WINNT\system32\mspaint.exe Poste das Ergebnis und ein aktuelles HJT Log Gruß Heron edit: Zitat ps: ich habe in der suchfunktion nix zur popuper.exe gefunden, deshalb wusst ich auch echt nicht weiter und hab ein neues thema eröffnet... Dann lies Dir das einmal aufmerksam durch: http://www.f-secure.com/v-descs/trdrsmwy.shtml Popuper.exe ist ein Backdoor-Trojaner, der weis der Himmel schon was auf Deinen Rechner geladen hat. __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 16.04.2005 um 14:09 Uhr von Heron editiert.
|
|
|
||
16.04.2005, 16:22
...neu hier
Themenstarter Beiträge: 8 |
#5
Also es tauchen zwar keine popups mehr auf, dafür aber gelegentlich so ne warnung, dass mein PC net sicher ist und ob ich ne Seite anzeigen lassen möchte mit lauter Spyware-Programmen.
Ich habe dies hier: F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe zwar nicht im hijackthis gefunden, aber ich habe die Datei mit Killbox entfernt. Auf die windowsupdates.com kam ich auch nicht, aber alles andere hat soweit geklappt. Das Ergebnis der 2 Datein ist: msole32.exe: Status: possibly infected malware packers detected: FSG NOD32: Found probably unknown NewHeur_PE (probable variant) mspaint.exe: Status: OK hier mein neues HJT Log: Logfile of HijackThis v1.99.1 Scan saved at 16:20:37, on 16.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\msole32.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe mfg Akroma |
|
|
||
16.04.2005, 17:54
Member
Beiträge: 1132 |
#6
Zitat Also es tauchen zwar keine popups mehr auf, dafür aber gelegentlich so ne warnung, dass mein PC net sicher ist und ob ich ne Seite anzeigen lassen möchte mit lauter Spyware-Programmen. Das sind noch Reste des Backdoor-Trojaners popuper.exe (s. obigen Link dazu!) Zitat Ich habe dies hier: Der Eintrag war in Deinem ersten HJT Log! Welche Datei hast Du gelöscht? Lösche C:\WINNT\system32\msole32.exe mit der Killbox eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp Erstelle einen Ordner c:\bases das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) http://www.tu-berlin.de/www/software/virus/savemode.shtml Das Programm mit "mwav.exe"(oder: "mwavscan.com" ) starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan clean" klicken. Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Mache verschiedene Online Scans Symantec http://security.symantec.com/default.asp? f-secure http://support.f-secure.com/enu/home/ols.shtml McAfee FreeScan www.mcafee.com/myapps/mfs/default.asp Trend-Micro http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php Lösche alle Dateien, die als "infected" gemeldet werden, mit der Killbox. Lade Dir herunter CCleaner http://www.ccleaner.com/ccdownload.asp und reinige alle Surfspuren damit RegSeeker http://www.chip.de/downloads/c_downloads_10786291.html Reinige die Registry damit (eine Sicherung vorher anlegen!) Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 16.04.2005 um 18:10 Uhr von Heron editiert.
|
|
|
||
16.04.2005, 19:59
...neu hier
Themenstarter Beiträge: 8 |
#7
Also ich habe die msmsgs.exe gelöscht, weil ich sie im HijackThis-Menu mit den Häkchen nicht finden konnte...
bei dem mwav musste ich nix entpacken und hatte auch keine kavupd.exe, habs aber trotzdem im abgesicherten modus gestartet und da wurde auch einiges gefunden: C:\WINNT\system32\ole32vbs.exe infected by "Trojan.Win32.Favadd.t" Virus. Action Taken: No Action Taken. C:\DOKUME~1\ZEHNDR~1\LOKALE~1\TEMPOR~1\Content.IE5\OHIN0X6Z\file[1].exe infected by "Trojan-Dropper.Win32.Small.wy" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Zehndreissig1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-13e2130d-525076e9.zip infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Zehndreissig1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OHIN0X6Z\file[1].exe infected by "Trojan-Dropper.Win32.Small.wy" Virus. Action Taken: No Action Taken. C:\Program Files\Windows ServeAd\WinServAd.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. C:\WINNT\system32\LogFiles\A04111925.so infected by "Trojan.Win32.LowZones.ba" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\ole32vbs.exe infected by "Trojan.Win32.Favadd.t" Virus. Action Taken: No Action Taken. C:\WINNT\system32\LogFiles\A04111925.so infected by "Trojan.Win32.LowZones.ba" Virus. Action Taken: No Action Taken. C:\WINNT\system32\ole32vbs.exe infected by "Trojan.Win32.Favadd.t" Virus. Action Taken: No Action Taken. Ich weiß jetzt nicht ob dies die Zusammenfassung sein soll, die Du meinst, aber ich setz es einfach mal dazu, sollte es das falsche sein, versuch ich nochmal das richtige zu finden. Sat Apr 16 19:37:16 2005 => Total Objects Scanned: 91939 Sat Apr 16 19:37:16 2005 => Total Virus(es) Found: 9 Sat Apr 16 19:37:16 2005 => Total Disinfected Files: 0 Sat Apr 16 19:37:16 2005 => Total Files Renamed: 0 Sat Apr 16 19:37:16 2005 => Total Deleted Objects: 0 Sat Apr 16 19:37:16 2005 => Total Errors: 5 Sat Apr 16 19:37:16 2005 => Time Elapsed: 00:50:59 Sat Apr 16 19:37:16 2005 => Virus Database Date: 2005/04/16 Sat Apr 16 19:37:16 2005 => Virus Database Count: 126266 Sat Apr 16 19:37:16 2005 => Scan Completed. Sat Apr 16 19:37:22 2005 => Virus Database Date: 2005/04/16 Sat Apr 16 19:37:22 2005 => Virus Database Count: 126266 Sat Apr 16 19:37:37 2005 => AV Library Unloaded (3)... Sat Apr 16 19:41:26 2005 => ********************************************************** Sat Apr 16 19:41:26 2005 => MicroWorld AntiVirus Toolkit Utility. Sat Apr 16 19:41:26 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc. Sat Apr 16 19:41:26 2005 => ********************************************************** Sat Apr 16 19:41:26 2005 => Version 6.0.8 (C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\mwavscan.com) Sat Apr 16 19:41:26 2005 => Log File: C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\MWAV.LOG Sat Apr 16 19:41:26 2005 => Last Scan Date and Time: 16.04.2005 18:45:56 Sat Apr 16 19:41:26 2005 => MWAV Registered: FALSE. Sat Apr 16 19:41:26 2005 => MWAV Mode: Only Scan files. Sat Apr 16 19:41:26 2005 => Latest Date of files inside MWAV: 16 Apr 2005 10:38:17. Sat Apr 16 19:41:27 2005 => AV Library Loaded... Sat Apr 16 19:41:27 2005 => MWAV doing self scanning... Sat Apr 16 19:41:27 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavss.exe Sat Apr 16 19:41:27 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\Getvlist.exe Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavss.dll Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavssdi.dll Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavssi.dll Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavvlg.dll Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\msvlclnt.dll Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\ipc.dll Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\main.avi Sat Apr 16 19:41:28 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\virus.avi Sat Apr 16 19:41:28 2005 => MWAV files are clean. Sat Apr 16 19:41:28 2005 => Virus Database Date: 2005/04/16 Sat Apr 16 19:41:28 2005 => Virus Database Count: 126266 Sat Apr 16 19:58:23 2005 => AV Library Unloaded (3)... Sat Apr 16 20:09:19 2005 => ********************************************************** Sat Apr 16 20:09:19 2005 => MicroWorld AntiVirus Toolkit Utility. Sat Apr 16 20:09:19 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc. Sat Apr 16 20:09:19 2005 => ********************************************************** Sat Apr 16 20:09:19 2005 => Version 6.0.8 (C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\mwavscan.com) Sat Apr 16 20:09:19 2005 => Log File: C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\MWAV.LOG Sat Apr 16 20:09:19 2005 => Last Scan Date and Time: 16.04.2005 18:45:56 Sat Apr 16 20:09:19 2005 => MWAV Registered: FALSE. Sat Apr 16 20:09:19 2005 => MWAV Mode: Only Scan files. Sat Apr 16 20:09:19 2005 => Latest Date of files inside MWAV: 16 Apr 2005 10:38:17. Sat Apr 16 20:09:22 2005 => AV Library Loaded... Sat Apr 16 20:09:22 2005 => MWAV doing self scanning... Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavss.exe Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\Getvlist.exe Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavss.dll Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavssdi.dll Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavssi.dll Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\kavvlg.dll Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\msvlclnt.dll Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\ipc.dll Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\main.avi Sat Apr 16 20:09:22 2005 => Scanning File C:\DOKUME~1\ZEHNDR~1\LOKALE~1\Temp\virus.avi Sat Apr 16 20:09:22 2005 => MWAV files are clean. Sat Apr 16 20:09:22 2005 => Virus Database Date: 2005/04/16 Sat Apr 16 20:09:22 2005 => Virus Database Count: 126266 Symantec, f-secure sowie McAffe konnte ich mir nicht runterladen, weil ich keinen Internet Explorer nutze (sondern Firefox), bin aber gerade dabei den PC mit Trend-Micro abzusuchen... Öhm, aber wie mach ich da bei der Registry-Reinigungvorher ne Sicherung? Ojojoj, ich hab ja echt so keine Ahnung von dem ganzen Kram, tut mir leid... Vielen Dank schon mal bis hierher und danke auch, dass du soviel Geduld hast mit mir!!! MfG Akroma Dieser Beitrag wurde am 16.04.2005 um 20:18 Uhr von Akroma editiert.
|
|
|
||
16.04.2005, 20:27
Member
Beiträge: 1132 |
#8
Das mit dem eScan Log ist alles in Ordnung so wie Du es gepostet hast.
Du musst im Win Explorer folgende Einstellungen vornehmen, damit Du alle Dateien sehen kannst: Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemddateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren. Dann alle von eScan als "infected" gefundene Dateien mit der Killbox löschen. Öffne HijackThis => Config => Misc Tools => Open Host File Manager. Poste den gesamten Text aus der dann angezeigten Box. Mit der Sicherung bei Regseeker habe ich gemeint, dass Du darauf achten musst, dass das Kästchen "Eine Sicherung anlegen" markiert ist. Dann legt das Programm eine automatische Sicherung der verändertn Registry-Einträge an. Diese Option ist aber, glaube ich standardmäßig aktiviert. Wenn Du nicht klar kommst, dann frage ruhig. Es gibt keine dummen Fragen, sondern nur dumme Antworten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
16.04.2005, 21:11
...neu hier
Themenstarter Beiträge: 8 |
#9
Feini...^^
So hab nun auch CCleaner und RegSeeker drüberlaufen lassen (wobei es etwas gedauert hat, bis ich rausgefunden hab, wie ich die Registries lösche...) Und hier nun das ausm HijackThis (hoffe es ist das richtige...): # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 127.0.0.1 e-finder.cc 127.0.0.1 fast-look.com 127.0.0.1 bin.wordsx.cc 127.0.0.1 s13.tempx.cc 127.0.0.1 vv7.al.57e.net 127.0.0.1 ewizard.cc 127.0.0.1 awmdabest.com 127.0.0.1 20x2p.com 127.0.0.1 rf104.com 127.0.0.1 75tz.com 127.0.0.1 v-224.com 127.0.0.1 rf104.com 127.0.0.1 ga31.com 127.0.0.1 crl.thawte.com 127.0.0.1 t34rulit.com 127.0.0.1 win-eto.com 127.0.0.1 super-spider.com 127.0.0.1 letgohome.com 127.0.0.1 cc20foreva.com 127.0.0.1 solongas.com 127.0.0.1 tracking.allposters.com 127.0.0.1 vparivalka.com 127.0.0.1 greg-tut.com 127.0.0.1 toprefsys.com 127.0.0.1 free-spy-cam.net 127.0.0.1 terra.hcworld.com 127.0.0.1 visitfriend.net 127.0.0.1 tracktraff.cc 127.0.0.1 love-catalog.net 127.0.0.1 trackhits.cc 127.0.0.1 u47.cc 127.0.0.1 u48.cc 127.0.0.1 u45.cx 127.0.0.1 u46.cx 127.0.0.1 www.6o9.com 127.0.0.1 new.8ad.com 127.0.0.1 veryeasysearch.com 127.0.0.1 msnprotection.com 127.0.0.1 adulthell.com 127.0.0.1 datingforlove.org 127.0.0.1 meetyourfriend.biz ** das hat einer meiner Lehrer früher auch immer gesagt...^^ Stimmt ja schon, bloß ich stell mich manchmal echt blöd an und deswegen weiß ich net, hätt ja sein können, aber dann bin ich ja beruhigt! Danke nochmal! Du hast mir echt geholfen!!! Gruß Akroma Dieser Beitrag wurde am 16.04.2005 um 21:11 Uhr von Akroma editiert.
|
|
|
||
16.04.2005, 21:21
...neu hier
Beiträge: 5 |
#10
Hallo!
Ich kämpfe seit geraumer Zeit gegen ein extrem langsames und instabiles system. Weis einfach nicht mehr weiter (bin kein PC Crack) und hab den empfohlenen hijackthis gezogen und anbei das log gepostet. Benutze Antivir, Ad-ware se personal, und spybot s&d und bis vorhin die securepoint firewall. Dann nach einem Windows-Update fing mein system total zu spinnen an und tut es immer noch, nachdem ich die firewall entfernt habe, läuft es wenigstens manchmal wieder... Bitte und hilfe Thomas Logfile of HijackThis v1.99.1 Scan saved at 21:00:38, on 16.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe D:\Download\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/264718a3f1baab739d17/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094394025859 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4468/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3D67F147-43A9-4452-9D26-F1C5F32503B1}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{3D67F147-43A9-4452-9D26-F1C5F32503B1}: NameServer = 192.168.178.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{3D67F147-43A9-4452-9D26-F1C5F32503B1}: NameServer = 192.168.178.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
||
16.04.2005, 21:27
Member
Beiträge: 1132 |
#11
Hallo Akroma,
Wir sind noch nicht fertig! Öffne HijackThis noch einmal und gehe in den "Hosts File Manager" => Drücke "Open in Notepad" (öffnet den File im Notepad) => lasse als einzige Zeile "127.0.0.1 localhost" stehen und lösche 127.0.0.1 e-finder.cc 127.0.0.1 fast-look.com 127.0.0.1 bin.wordsx.cc 127.0.0.1 s13.tempx.cc 127.0.0.1 vv7.al.57e.net 127.0.0.1 ewizard.cc 127.0.0.1 awmdabest.com 127.0.0.1 20x2p.com 127.0.0.1 rf104.com 127.0.0.1 75tz.com 127.0.0.1 v-224.com 127.0.0.1 rf104.com 127.0.0.1 ga31.com 127.0.0.1 crl.thawte.com 127.0.0.1 t34rulit.com 127.0.0.1 win-eto.com 127.0.0.1 super-spider.com 127.0.0.1 letgohome.com 127.0.0.1 cc20foreva.com 127.0.0.1 solongas.com 127.0.0.1 tracking.allposters.com 127.0.0.1 vparivalka.com 127.0.0.1 greg-tut.com 127.0.0.1 toprefsys.com 127.0.0.1 free-spy-cam.net 127.0.0.1 terra.hcworld.com 127.0.0.1 visitfriend.net 127.0.0.1 tracktraff.cc 127.0.0.1 love-catalog.net 127.0.0.1 trackhits.cc 127.0.0.1 u47.cc 127.0.0.1 u48.cc 127.0.0.1 u45.cx 127.0.0.1 u46.cx 127.0.0.1 www.6o9.com 127.0.0.1 new.8ad.com 127.0.0.1 veryeasysearch.com 127.0.0.1 msnprotection.com 127.0.0.1 adulthell.com 127.0.0.1 datingforlove.org 127.0.0.1 meetyourfriend.biz schließe den Editor Mache noch die oben angegebenen Online-Scans und poste das aktuelle HJT Log Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 16.04.2005 um 21:31 Uhr von Heron editiert.
|
|
|
||
16.04.2005, 22:12
Member
Beiträge: 1132 |
#12
Hallo Thomaer,
Dein Log ist, soweit ich das sehen kann, sauber. Die Probleme scheinen eine andere Ursache zu haben. Vielleicht legst Du Dir eine andere Firewall zu (Outpost sehr zu empfehlen aus meiner Sicht). Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.04.2005, 00:37
...neu hier
Themenstarter Beiträge: 8 |
#13
Hmmm... Nagut... Will ja auch, dass dann wirklich alles wieder in Ordnung ist mit der Kiste, und wenn wir schon dabei sind...^^
Also die andern Scans hab ich gemacht und auch 2 Datein, die als infected angezeigt wurden mit Killbox gelöscht, CCleaner und RegSeeker auch nun 2 mal drüberlaufen lassen, da finden die nix mehr... Nun die Log: Logfile of HijackThis v1.99.1 Scan saved at 00:30:11, on 17.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe MfG Akroma |
|
|
||
17.04.2005, 09:25
Member
Beiträge: 1132 |
#14
@Akroma,
Hast Du das mit dem Hosts-File auch gemacht? Ist unbedingt notwendig! Fixe nochmal O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= im Übrigen sieht das Log jetzt sauber aus Funktioniert Dein Windows-Update? Sind sonst noch Probleme? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
17.04.2005, 11:14
...neu hier
Beiträge: 2 |
#15
Heron ich hab die ma ne PN geschickt. Bitte hilf mir
|
|
|
||
also, ich habe seit 2 tagen nervige popup-fenster, die sich mittlerweile im sekundentakt vermehren.
ich habe im taskmanager bei den prozessen eine popuper.exe gefunden und mein mitbewohner hat mir gesagt,dass es sich dabei um einen bösen virus handelt...
nachdem ich etliche male spybot s&d, ad-aware sowie spyware doctor rüberlaufen lassen hab und sich nix getan hat, hab ich mir nun auch CWShredder, HijackThis und RegRun runtergeladen, aber anscheinend bin ich zu müde und/oder zu blöd um das auf die reihe zu kriegen... ich hab echt keinen plan wie ich diese popuper.exe da nun wegbekomme, denn ich geh ja mal stark davon aus, dass eben diese für die popups verantworlich ist und es aufhört sobald diese exe weg ist...
ich hoffe mir kann jemand helfen!
Mfg
ps: ich habe in der suchfunktion nix zur popuper.exe gefunden, deshalb wusst ich auch echt nicht weiter und hab ein neues thema eröffnet...