bin ich infiziert ? |
||
|---|---|---|
| #0
| ||
|
26.06.2005, 20:44
...neu hier
 Beiträge: 8 |
||
 
|
|
|
|
26.06.2005, 20:47
Member
 Beiträge: 669 |
#2
Poste mal ein HijackThis-Log, Anleitungen dazu findest du hier im Forum.
http://board.protecus.de/t16317.htm __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
|
|
|
|
27.06.2005, 21:00
...neu hier
Themenstarter Beiträge: 8 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 20:59:27, on 27.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\sstray.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.search-world.biz R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.search-world.biz R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.LOX.com/index.html R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.LOX.com/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-world.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-world.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-world.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.LOX.com/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.LOX.com/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.LOX.com/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.LOX.com/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-world.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-world.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.LOX.com/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.LOX.com/index.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe" O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PopUp Buster+] C:\Programme\PopUpBuster\popupbuster.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ijfqiueat] C:\WINDOWS\System32\dptzza.exe O4 - HKLM\..\Run: [bdgr1k] C:\WINDOWS\System32\bdgr1k.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 81.222.131.59 O15 - Trusted IP range: 81.222.131.59 (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_EN_XP.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {8EF27A70-DD04-11D6-B7F6-00A0C9CD5F8A} - http://www.quikshield.com/qshsetup.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2732 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{70DC7B95-E05C-4295-85CA-B09BE39218A1}: NameServer = 217.237.151.161 217.237.151.33 O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe |
|
|
|
|
|
|
27.06.2005, 21:13
Member
Beiträge: 669 |
#4
Du bist leider nicht nur infiziert, du bist regelrecht verseucht.
Lese dir einmal folgende Anleitung durch: http://board.protecus.de/t16317.htm (Abschnitt "Virenalarm") Und scanne nach der Anleitung dein System mit CWShredder, Spybot, AdAware und eScan (poste ein eScan-Log wie dort beschrieben) Fixe dann mit HijackThis: Code R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.search-world.bizPoste anschileßend ein neues HijackThis-Log und das Ergebnis vom eScan. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
|
|
|
|
28.06.2005, 13:15
...neu hier
Themenstarter Beiträge: 8 |
#5
mein HJT-file (nach dem fixen)
Logfile of HijackThis v1.99.1 Scan saved at 13:14:43, on 28.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\sstray.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [remotecontrol] C:\Programme\ASUS\ASUS Remote Master\Remote Master.exe O4 - HKLM\..\Run: [Remote_Agent] "C:\Programme\CyberLink Media Carnival\PowerVCR II\RemoteAgent.exe" O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PopUp Buster+] C:\Programme\PopUpBuster\popupbuster.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ijfqiueat] C:\WINDOWS\System32\dptzza.exe O4 - HKLM\..\Run: [bdgr1k] C:\WINDOWS\System32\bdgr1k.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.ysbweb.com O17 - HKLM\System\CCS\Services\Tcpip\..\{70DC7B95-E05C-4295-85CA-B09BE39218A1}: NameServer = 217.237.151.161 217.237.151.33 O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe |
|
|
|
|
|
|
28.06.2005, 14:38
Member
 Beiträge: 4730 |
#6
Da is immer noch ne Menge Schweinkrams dabei... aber es sieht schon viel besser aus.
O4 - HKLM\..\Run: [ijfqiueat] C:\WINDOWS\System32\dptzza.exe O4 - HKLM\..\Run: [bdgr1k] C:\WINDOWS\System32\bdgr1k.exe O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.ysbweb.com O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll (file missing) (nicht böse, aber unnötig) sollte noch gefixt werden. Der Wurm, den Du Dir eingefangen hast, ist W32/Forbot-BD - ein angeblich sehr böser Wurm. Zitat W32/Forbot-BD: ist ein Netzwerkwurm mit Backdoortrojaner-Funktionalität. Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer. Wenn er erstmals ausgeführt wird, kopiert sich W32/Forbot-BD als MSMSGS.EXE in den Windows-Systemordner. Damit er automatisch beim Windows-Start aktiviert wird, erstellt W32/Forbot-BD Registrierungseinträge.Quelle: http://www.sophos.de/virusinfo/analyses/w32forbotbd.html Du solltest bis zur Reinigung oder (wenn's nicht anders geht) dem Formatieren deines Systems kein Online-Banking, File-sharing, Mailing, Messaging betreiben, da dieser Wurm alles ausspionieren könnte bzw. sich somit selbst weiterverbreiten kann. Drucke diese Anweisung entweder aus oder speichere sie als TXT-Datei, da im Abgesicherten Modus gearbeitet werden muss. 1. Systemwiederherstellung deaktivieren, sofern nicht schon geschehen. 2. Im Taskmanager abschießen (sofern möglich): msmsgs.exe bdgr1k.exe dptzza.exe 3. Download: ccleaner (http://www.ccleaner.com/) (CrapCleaner (http://www.winfuture.de/news,20135.html)) RegClean (http://www.zdnet.de/downloads/prg/a/c/de00AC-wc.html) Stinger (http://vil.nai.com/vil/stinger/) 4. Im Abgesicherten Modus starten. 5. Programme, die ggf. geladen werden, einschliesslich Internet Explorer, schließen. Mit HijackThis die oben genannten Einträge fixen und den Stinger durchlaufen lassen. 6. Lösche folgende Dateien manuell mit dem Windows Explorer (wenn Stinger sie nicht bereits entfernt hat): C:\WINDOWS\System32\msmsgs.exe C:\WINDOWS\System32\dptzza.exe C:\WINDOWS\System32\bdgr1k.exe 7. Neustart (Normaler Modus) 8. ggf. Backup der Registry anlegen (sollte nach erfolgreicher Behandlung entfernt werden, da verseucht). 9. Start -> Ausführen -> regedit.exe navigiere zu HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ lösche den Eintrag Windows Messenger = msmsgs.exe navigiere zu HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ lösche den Eintrag Windows Messenger = msmsgs.exe navigiere zu HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ lösche den Eintrag Windows Messenger = msmsgs.exe navigiere zu HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ lösche den Eintrag Windows Messenger = msmsgs.exe navigiere zu HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ lösche den Eintrag Windows Messenger = msmsgs.exe 10. CCleaner durchlaufen lassen 11. RegClean durchlaufen lassen Erneutes HJT-Log erstellen und posten. Was übrigens nicht besonder gut ist: Zwei Virenscanner parallel installiert zu haben, denn die können sich gegenseitig unbrauchbar machen. Also einen deinstallieren (empfohlen AntiVir, weil Norton doch ein wenig besser erkennt und außerdem bei der Deinstallation Probleme bereiten kann). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
28.06.2005, 15:08
...neu hier
Themenstarter Beiträge: 8 |
#7
ich glaube das e-scan log ist zu lang um es hier zu posten, wenn ich versuche es zu kopieren spinnt mein internetexplorer
ist wohl einfach zu viel (116 viren gefunden) welche teile des log brauchst du unbedingt ? |
|
|
|
|
|
|
28.06.2005, 16:20
Ehrenmitglied
 Beiträge: 29434 |
#8
noch fixen:
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O20 - Winlogon Notify: disk - C:\WINDOWS\system32\diskperff.dll (file missing) neustarten MessengerPlus3 (deinstallieren und nie wieder laden) Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann scanne noch mal---> dann wird das Log nicht so lang __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.06.2005, 16:43
Member
Beiträge: 669 |
#9
Außerdem sollst du nur die Zeilen welche das Wort "infected" halten posten und das Log nach diesen Filtern. Falls du das bei dem letzten Log nicht gemacht hattest.
__________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich hab seit n paar wochend as gefühl das irgendwas mit meinem internet nicht stimmt. wenn ich zb online spiele ist der ping auf einmal viel höher als sonst und auch bei anderen programmen die ich so laufen hab wenn ich online bin hab ich den verdacht das mein internet auf einmal langsamer wird.
von der telekom kam auch n' brief das mein computer wahrscheinlich dazu benutzt wird um illegal werbung zu verschicken usw. ich hab neue zugangsadaten erhalten und mein kennwort geändert aber irgendwie kommt mir trotzdem alles unverändert langsam vor
woran könnte das liegen ?
mfg, kare