Trotz sofortigen Updates infiziert

#0
09.10.2005, 22:58
Member

Beiträge: 11
#1 Also ich hab gerade meinen pc formatiert und windows neu installiert und obwohl ich sofort alle updates bei microsoft gemacht habe und den browser auch nur dafür benutzt hab (bin also sonst garnicht gesurft, nutze sonst firefox) bin ich schon infiziert..das is so zum kotzen



mein hijackthis-log:

Logfile of HijackThis v1.97.7
Scan saved at 22:58:02, on 09.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WinedowsUpdater1.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\System32\sstray.exe
D:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\etb\pokapoka75.exe
C:\luxor.exe
D:\Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.directsearchzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.directsearchzone.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.directsearchzone.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] "D:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [schost] C:\luxor.exe
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128882754965
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128883857189
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4380554-F628-47B2-AC9C-0832F76587E6}: NameServer = 217.237.150.225 217.237.150.141
[/b]



ausserdem hab ich diese toolbar, obwohl ich se nich installeirt hab:

Dieser Beitrag wurde am 09.10.2005 um 23:34 Uhr von Xyphelmuetz editiert.
Seitenanfang Seitenende
09.10.2005, 23:28
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Benutzte die letzte version von Hijack This 1.99
Direkt download: http://216.180.233.162/~merijn/files/HijackThis.exe
__________
MfG Argus
Seitenanfang Seitenende
09.10.2005, 23:47
Member

Themenstarter

Beiträge: 11
#3 Logfile of HijackThis v1.99.1
Scan saved at 23:58:42, on 09.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WinedowsUpdater1.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\System32\sstray.exe
D:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\etb\pokapoka75.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Xyphelmuetz\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] "D:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128882754965
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128883857189
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\system32\WinedowsUpdater1.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe
Dieser Beitrag wurde am 09.10.2005 um 23:59 Uhr von Xyphelmuetz editiert.
Seitenanfang Seitenende
10.10.2005, 00:09
Member
Avatar Gool

Beiträge: 4730
#4 O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\system32\WinedowsUpdater1.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe

Diese drei Einträge solltest Du fixen.

Mit Killbox wie auf http://managor.de/killbox.htm solltest Du folgende Dateien löschen:

C:\WINDOWS\csrss.exe
C:\WINDOWS\system32\WinedowsUpdater1.exe
C:\WINDOWS\etb\pokapoka75.exe

Wenn der PC neugestartet ist, mache einen Scan mit eScanCheck und poste uns das Ergebnis:
http://managor.de/escan.htm

Btw. kann ich aus dem HJT-Log nicht erkennen, dass Du irgendwelche Updates installiert hast. Es ist wichtig, die Servicepacks zu installieren! Ebenso ist es ratsam, bevor Du ins Internet gehst, einen Virenscanner zu installieren.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende