Änderung des Autostart-Menüs |
||
---|---|---|
#0
| ||
11.08.2005, 11:22
Ehrenmitglied
Beiträge: 29434 |
||
|
||
11.08.2005, 23:04
...neu hier
Beiträge: 2 |
#17
Hi Sabina,
vielen Dank für deine Antwort! Muss ich eigentlich die ganzen Schritte durchführen? Ich habe nämlich grade nur das erste "öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten" gemacht, und seit dem ist die Meldung nicht mehr aufgetaucht. Oder ist der Wurm oder was das ist sonst noch irgendwo versteckt? Danke dir. |
|
|
||
11.08.2005, 23:10
Ehrenmitglied
Beiträge: 29434 |
#18
natuerlich...es ist noch alles auf dem pC .....
Du musst alles durchfuehren Vielleicht hast du noch nicht verstanden, dass du den blaster wurm auf einem voellig ungepatchten System hast....... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2006, 14:39
...neu hier
Beiträge: 2 |
#19
Hallo,
ich habe auch das Problem, dass ich beim Starten des SmartSurfers diese Änderungs-Meldung angezeigt bekomme. Zuerst war es eine cgac.exe, mit der ich nichts anfangen konnte und die ich dann über den hier irgendwo beschriebenen Weg aus dem Hkey_local_machine Ornder gelöscht habe, nach Neustart war sie aber wieder da. Also hab ich mir endlich mal wieder ein Update des AntiVir runtergeladen, der die Datei auch fand, bemängelte und löschte. Nun bekomme ich beim Start des SmartSurfers statt dessen die Meldung, dass sich die Datei AVGCTRL.exe im Autostart-Menü eingetragen hat. Für mich klingt der Name, als hätte es wirklich was mit dem Virenscanner zu tun, also hab ich Übernehmen geklickt, beim nächsten Start kam die Meldung aber wieder und nun bin völlig verunsichert. Lange Rede, kurzer Sinn, hab jetzt ein Hijackthis.log erstellt und bitte die Herrschaften, die Ahnung haben, da mal einen Blick drauf zu werfen Logfile of HijackThis v1.99.1 Scan saved at 14:16:33, on 13.01.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\CD-WRITER PLUS\HP SIMPLE TRAX\HPCRON.EXE C:\PROGRAMME\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\YAHOO!\MESSENGER\YMSGR_TRAY.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.depeche-forum.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [HP Simple Trax] C:\Programme\CD-Writer Plus\HP Simple Trax\hpcron.exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\CD-Writer Plus\DirectCD\DIRECTCD.EXE O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMME\YAHOO!\MESSENGER\ypager.exe -quiet O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE O12 - Plugin for .pcg: C:\PROGRA~1\INTERN~1\PLUGINS\nppcgplg.dll O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/22b5d2e6688beec3f919/netzip/RdxIE601_de.cab Ich hab wie gesagt überhaupt keine Ahnung, aber mich macht das wuschig, weil mich der Name irgendwie an Spooner erinnert... C:\WINDOWS\SYSTEM\SPOOL32.EXE |
|
|
||
13.01.2006, 15:01
Ehrenmitglied
Beiträge: 29434 |
#20
Crescentia
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min ist der Antivirus (free)...stellt also keine Bedrohung war Viren-Onlinescans http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 14:48
...neu hier
Beiträge: 2 |
#21
Zitat Sabina posteteAlles klar,vielen Dank... |
|
|
||
23.01.2006, 21:01
...neu hier
Beiträge: 1 |
#22
das mit der Meldung autostart ändern ist keinesfalls ein wurm oder ähnliches
du musst lediglich beim smartsurfer unter dialerschutz autostart überwachen deaktivieren! so nun hf beim gemütlichen surfen |
|
|
||
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: IEHlprObj Class - {19675D4F-3046-4A83-BE82-164A96342028} - C:\WINDOWS\system32\m030206pohs.dll
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\RunOnce: [mscrp] C:\WINDOWS\System32\\winbpupd.exe /s C:\WINDOWS\System32\\mbho2.dll C:\WINDOWS\System32\\mbho.dll
PC neustarten
um den blaster-Wurm zu loeschen:
Um W32/Blaster-A manuell auf Windows 95/98/Me und Windows NT/2000/XP zu enfernen:
http://www.sophos.de/support/disinfection/blastera.html
* Vergewissern Sie sich, dass Sie das Microsoft Patch MS03-039 installiert haben und so viele der oben genannten Schritte wie möglich durchgeführt haben.
* Drücken Sie gleichzeitig STRG+ALT+ENTF.
* Wählen Sie auf Windows NT/2000/XP "Task-Manager" und klicken Sie auf die Registerkarte "Prozesse".
* Suchen Sie in der Liste den Prozess msblast.exe.
* Klicken Sie auf den Prozess, um ihn zu markieren.
* Klicken Sie auf die Schaltfläche "Prozess beenden" (auf Windows 95/98/Me "Task beenden").
* Schließen Sie den Task-Manager.
Suchen Sie nach der Datei msblast.exe im Windows-Systemordner (normalerweise ein Unterordner von Windows oder WINNT) und löschen Sie die Datei.
•Stinger
http://virus-protect.org/antivirenfree.html
windsdoorcleaner
http://virus-protect.org/windsdoorcleaner.html
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\IPINSIGT.DLL
C:\WINDOWS\System32\\mbho.dll
C:\WINDOWS\System32\mbho.dll
C:\WINDOWS\system32\m030206pohs.dll
PC neustarten
Ewido-->scanne und poste mir das log vom SCan
http://virus-protect.org/antivirenfree.html
Zitat
-----------------------------------------------------------------------http://www.microsoft.com/germany/technet/sicherheit/bulletins/blaster.mspx
Das Microsoft Product Support Services Security Team warnt vor dem neuen Wurm W32.Blaster.Worm, der sich derzeit im Internet verbreitet. Der Wurm hat auch folgende Namen: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Das Ziel des Wurms ist es, zu einem bestimmten Zeitpunkt einen Denial-of-Service-Angriff gegen die Microsoft Windows Update-Seite durchzuführen. Das Einspielen der Sicherheitspatches MS03-026 oder MS03-039 schützt vor diesem Wurm
Falls Sie den Sicherheitspatch aus dem Security Bulletin MS03-026 oder MS03-039 bereits installiert haben, sind Sie vor diesem Wurm geschützt und müssen keine weiteren Schritte unternehmen. Wie Sie feststellen können, ob W32.Blaster.Worm Ihr System infiziert hat, erfahren Sie unten im Abschnitt Technische Details.
-----------
Wie kann ich das Service Pack 2 installieren?
Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.
# Installation über Windows Update (Internet)
www.windowsupdate.com
1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).
2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.
__________
MfG Sabina
rund um die PC-Sicherheit