Navupdate64? Prozess öffnet sich beim hochfahren |
||
---|---|---|
#0
| ||
03.07.2005, 19:18
...neu hier
Beiträge: 2 |
||
|
||
03.07.2005, 19:48
Ehrenmitglied
Beiträge: 29434 |
#2
einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html C:\WINDOWS\System32\OEMipm12.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 O1 - Hosts: 213.159.235.174 www.halifax-online.co.uk O1 - Hosts: 213.159.235.174 ibank.barclays.co.uk O1 - Hosts: 213.159.235.174 online.lloydstsb.co.uk O1 - Hosts: 213.159.235.174 online-business.lloydstsb.co.uk O1 - Hosts: 213.159.235.174 www.ukpersonal.hsbc.co.uk O1 - Hosts: 213.159.235.174 www.nwolb.com O1 - Hosts: 213.159.235.174 banesnet.banesto.es O1 - Hosts: 213.159.235.174 extranet.banesto.es O1 - Hosts: 213.159.235.174 ebanking.bccbrescia.it O1 - Hosts: 213.159.235.174 www.bankofscotlandhalifax-online.co.uk O1 - Hosts: 213.159.235.174 www.rbsdigital.com O1 - Hosts: 213.159.235.174 oi.cajamadrid.es O1 - Hosts: 213.159.235.174 bancae.caixapenedes.com O1 - Hosts: 213.159.235.174 banking.postbank.de O1 - Hosts: 213.159.235.174 meine.deutsche-bank.de O1 - Hosts: 213.159.235.174 myonlineaccounts2.abbeynational.co.uk O1 - Hosts: 213.159.235.174 ibank.cahoot.com O1 - Hosts: 213.159.235.174 webbank.openplan.co.uk O4 - HKLM\..\Run: [Window_Protect] winsi32.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MS UniX] navupdate64.exe O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326 PC neustarten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit silentrunners http://virus-protect.org/silentrunner.html http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2005, 20:24
...neu hier
Themenstarter Beiträge: 2 |
#3
hallo,
danke erstmal für die schnelle antwort. bin bis rkfiles gekommen, kann aber im abgesicherten modus keine internetverbindung aufbauen, RAS fehler 711. mfg Ottmar |
|
|
||
03.07.2005, 22:28
Ehrenmitglied
Beiträge: 29434 |
#4
du brauchst keine Internetverbindung im abgesicherten Modus, es reicht der abgesicherte Modus (ohne Internetverbindung)
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hackjack this log:
Logfile of HijackThis v1.99.1
Scan saved at 19:13:46, on 03.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Olivetti\Aio\Shared\Bin\AplEvm12.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Olivetti\Aio\Shared\Bin\aplsts12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\OEMipm12.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sony\Station\LaunchPad\LaunchPad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\My Shared Folder\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
O1 - Hosts: 213.159.235.174 www.halifax-online.co.uk
O1 - Hosts: 213.159.235.174 ibank.barclays.co.uk
O1 - Hosts: 213.159.235.174 online.lloydstsb.co.uk
O1 - Hosts: 213.159.235.174 online-business.lloydstsb.co.uk
O1 - Hosts: 213.159.235.174 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 213.159.235.174 www.nwolb.com
O1 - Hosts: 213.159.235.174 banesnet.banesto.es
O1 - Hosts: 213.159.235.174 extranet.banesto.es
O1 - Hosts: 213.159.235.174 ebanking.bccbrescia.it
O1 - Hosts: 213.159.235.174 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 213.159.235.174 www.rbsdigital.com
O1 - Hosts: 213.159.235.174 oi.cajamadrid.es
O1 - Hosts: 213.159.235.174 bancae.caixapenedes.com
O1 - Hosts: 213.159.235.174 banking.postbank.de
O1 - Hosts: 213.159.235.174 meine.deutsche-bank.de
O1 - Hosts: 213.159.235.174 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 213.159.235.174 ibank.cahoot.com
O1 - Hosts: 213.159.235.174 webbank.openplan.co.uk
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Window_Protect] winsi32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [OLIVETTIEVM] C:\Programme\Olivetti\Aio\Shared\Bin\AplEvm12.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [Window_Protect] winsi32.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119471914927
O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1650F05-559D-4694-99E1-03B1ABD19854}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver OEM12 - HP - C:\WINDOWS\System32\OEMipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
danke schon im voraus.