Home » Viren, Trojaner & Malware Forum » Änderung des Autostart-Menüs » Themenansicht

Änderung des Autostart-Menüs
#0
11.08.2005, 11:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo@BSBS

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: IEHlprObj Class - {19675D4F-3046-4A83-BE82-164A96342028} - C:\WINDOWS\system32\m030206pohs.dll
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\RunOnce: [mscrp] C:\WINDOWS\System32\\winbpupd.exe /s C:\WINDOWS\System32\\mbho2.dll C:\WINDOWS\System32\\mbho.dll

PC neustarten

um den blaster-Wurm zu loeschen:

Um W32/Blaster-A manuell auf Windows 95/98/Me und Windows NT/2000/XP zu enfernen:
http://www.sophos.de/support/disinfection/blastera.html

* Vergewissern Sie sich, dass Sie das Microsoft Patch MS03-039 installiert haben und so viele der oben genannten Schritte wie möglich durchgeführt haben.
* Drücken Sie gleichzeitig STRG+ALT+ENTF.
* Wählen Sie auf Windows NT/2000/XP "Task-Manager" und klicken Sie auf die Registerkarte "Prozesse".
* Suchen Sie in der Liste den Prozess msblast.exe.
* Klicken Sie auf den Prozess, um ihn zu markieren.
* Klicken Sie auf die Schaltfläche "Prozess beenden" (auf Windows 95/98/Me "Task beenden").
* Schließen Sie den Task-Manager.

Suchen Sie nach der Datei msblast.exe im Windows-Systemordner (normalerweise ein Unterordner von Windows oder WINNT) und löschen Sie die Datei.

•Stinger
http://virus-protect.org/antivirenfree.html

windsdoorcleaner
http://virus-protect.org/windsdoorcleaner.html

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\IPINSIGT.DLL
C:\WINDOWS\System32\\mbho.dll
C:\WINDOWS\System32\mbho.dll
C:\WINDOWS\system32\m030206pohs.dll

PC neustarten

Ewido-->scanne und poste mir das log vom SCan ;)
http://virus-protect.org/antivirenfree.html

Zitat

Lade den HotFix:

6. Obtaining the Microsoft HotFix to correct the DCOM RPC vulnerability
W32.Blaster.Worm is a worm that exploits the DCOM RPC vulnerability using TCP port 135 to infect your PC. The W32.Blaster.Worm also attempts to perform a DoS on the Microsoft Windows Update Web server (windowsupdate.com) using your PC. To fix this, it is important to obtain the Microsoft Hotfix at: Microsoft Security Bulletin MS03-039.
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
-----------------------------------------------------------------------

http://www.microsoft.com/germany/technet/sicherheit/bulletins/blaster.mspx
Das Microsoft Product Support Services Security Team warnt vor dem neuen Wurm W32.Blaster.Worm, der sich derzeit im Internet verbreitet. Der Wurm hat auch folgende Namen: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Das Ziel des Wurms ist es, zu einem bestimmten Zeitpunkt einen Denial-of-Service-Angriff gegen die Microsoft Windows Update-Seite durchzuführen. Das Einspielen der Sicherheitspatches MS03-026 oder MS03-039 schützt vor diesem Wurm

Falls Sie den Sicherheitspatch aus dem Security Bulletin MS03-026 oder MS03-039 bereits installiert haben, sind Sie vor diesem Wurm geschützt und müssen keine weiteren Schritte unternehmen. Wie Sie feststellen können, ob W32.Blaster.Worm Ihr System infiziert hat, erfahren Sie unten im Abschnitt Technische Details.

-----------

Wie kann ich das Service Pack 2 installieren?
Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.
# Installation über Windows Update (Internet)
www.windowsupdate.com
1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.08.2005, 23:04
BSBS
...neu hier

Beiträge: 2
#17 Hi Sabina,
vielen Dank für deine Antwort!
Muss ich eigentlich die ganzen Schritte durchführen? Ich habe nämlich grade nur das erste "öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten" gemacht, und seit dem ist die Meldung nicht mehr aufgetaucht. Oder ist der Wurm oder was das ist sonst noch irgendwo versteckt? Danke dir.
Seitenanfang Seitenende
11.08.2005, 23:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 natuerlich...es ist noch alles auf dem pC .....
Du musst alles durchfuehren

Vielleicht hast du noch nicht verstanden, dass du den blaster wurm auf einem voellig ungepatchten System hast.......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.01.2006, 14:39
Crescentia
...neu hier

Beiträge: 2
#19 Hallo,
ich habe auch das Problem, dass ich beim Starten des SmartSurfers diese Änderungs-Meldung angezeigt bekomme. Zuerst war es eine cgac.exe, mit der ich nichts anfangen konnte und die ich dann über den hier irgendwo beschriebenen Weg aus dem Hkey_local_machine Ornder gelöscht habe, nach Neustart war sie aber wieder da. Also hab ich mir endlich mal wieder ein Update des AntiVir runtergeladen, der die Datei auch fand, bemängelte und löschte. Nun bekomme ich beim Start des SmartSurfers statt dessen die Meldung, dass sich die Datei AVGCTRL.exe im Autostart-Menü eingetragen hat. Für mich klingt der Name, als hätte es wirklich was mit dem Virenscanner zu tun, also hab ich Übernehmen geklickt, beim nächsten Start kam die Meldung aber wieder und nun bin völlig verunsichert.
Lange Rede, kurzer Sinn, hab jetzt ein Hijackthis.log erstellt und bitte die Herrschaften, die Ahnung haben, da mal einen Blick drauf zu werfen ;)

Logfile of HijackThis v1.99.1
Scan saved at 14:16:33, on 13.01.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CD-WRITER PLUS\HP SIMPLE TRAX\HPCRON.EXE
C:\PROGRAMME\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE
C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.depeche-forum.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HP Simple Trax] C:\Programme\CD-Writer Plus\HP Simple Trax\hpcron.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\CD-Writer Plus\DirectCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMME\YAHOO!\MESSENGER\ypager.exe -quiet
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O12 - Plugin for .pcg: C:\PROGRA~1\INTERN~1\PLUGINS\nppcgplg.dll
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/22b5d2e6688beec3f919/netzip/RdxIE601_de.cab

Ich hab wie gesagt überhaupt keine Ahnung, aber mich macht das wuschig, weil mich der Name irgendwie an Spooner erinnert...
C:\WINDOWS\SYSTEM\SPOOL32.EXE
Seitenanfang Seitenende
13.01.2006, 15:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Crescentia

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
ist der Antivirus (free)...stellt also keine Bedrohung war ;)

Viren-Onlinescans ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2006, 14:48
Crescentia
...neu hier

Beiträge: 2
#21

Zitat

Sabina postete
Crescentia

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
ist der Antivirus (free)...stellt also keine Bedrohung war ;)

Viren-Onlinescans ;)
http://virus-protect.org/onlinescan.html
Alles klar,vielen Dank... ;)
Seitenanfang Seitenende
23.01.2006, 21:01
ce-ca-cin
...neu hier

Beiträge: 1
#22 das mit der Meldung autostart ändern ist keinesfalls ein wurm oder ähnliches ;)


du musst lediglich beim smartsurfer unter dialerschutz autostart überwachen deaktivieren! ;)

so nun hf beim gemütlichen surfen ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 12