SVCHOST 100% Auslastung Hijack file inkl |
||
---|---|---|
#0
| ||
06.12.2005, 12:25
...neu hier
Beiträge: 4 |
||
|
||
06.12.2005, 16:24
Member
Beiträge: 4730 |
#2
Häkchen setzen und "fix checked" anklicken:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe O4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe Lösche alle temporären Dateien (CCleaner: http://www.ccleaner.com/ccdownload.asp) Lösche mit Killbox folgende Dateien (http://managor.de/killbox.htm) C:\winstall.exe C:\WINDOWS\system32\paytime.exe C:\WINDOWS\bxproxy.exe c:\secure32.html Vier Log-Dateien erstellen: http://virus-protect.org/datfindbat.html Daraus die Einträge der vergangenen drei Wochen kopieren (vor jeedem Eintrag steht ein Datum) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
06.12.2005, 16:29
...neu hier
Themenstarter Beiträge: 4 |
#3
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe war in hijack nicht mehr drin
C:\winstall.exe C:\WINDOWS\system32\paytime.exe sind auch nicht mehr da. C:\WINDOWS\bxproxy.exe konnte nicht gelöscht werden durhc killbox c:\secure32.html gelöscht. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 04CD-8203 Verzeichnis von C:\WINDOWS\system32 04.12.2005 17:27 311.604 perfh009.dat 04.12.2005 17:27 39.992 perfc009.dat 04.12.2005 17:27 316.594 perfh007.dat 04.12.2005 17:27 48.156 perfc007.dat 04.12.2005 17:27 723.744 PerfStringBackup.INI 04.12.2005 14:12 24.576 RpcxSs.dll 04.12.2005 14:12 69.632 bnmsrv.exe 04.12.2005 11:14 2.206 wpa.dbl 15.11.2005 00:00 196.960 FNTCACHE.DAT Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung.Das Prob ist immernoch da. Dieser Beitrag wurde am 07.12.2005 um 12:29 Uhr von Christoph19 editiert.
|
|
|
||
07.12.2005, 17:14
Member
Beiträge: 4730 |
#4
Lösche alle temporären Dateien (CCleaner: http://www.ccleaner.com/ccdownload.asp)
Lösche mit Killbox: C:\windows\system32\bnmsrv.exe C:\windows\Lic.xxx c:\windows\hosts c:\windows\secure32.html c:\windows\bxproxy.exe c:\windows\degbes.exe c:\windows\de.exe c:\windows\kl.exe c:\windows\uniq C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\bot.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\msarch.exe (falls vorhanden): c:\Windows\tool1.exe c:\Windows\tool2.exe c:\Windows\tool3.exe c:\Windows\tool4.exe c:\Windows\tool5.exe c:\Windows\toolbar.exe Hoster.zip http://www.funkytoad.com/download/hoster.zip Herunterladen, entpacken und starten. Drücke 'Restore Original Hosts' und anschließend 'OK'. Silentrunner (bitte das Ergebnis posten): http://virus-protect.org/silentrunner.html CounterSpy: http://virus-protect.org/counterspy.html Anschließend mache einen Scan mit eScanCheck und poste den Report (http://managor.de/escan.htm) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
07.12.2005, 18:07
...neu hier
Themenstarter Beiträge: 4 |
#5
Zitat "Silent Runners.vbs", revision 41, http://www.silentrunners.org/PS: welche firewall und antivirus software kannst du empfehlen? Dieser Beitrag wurde am 07.12.2005 um 18:16 Uhr von Christoph19 editiert.
|
|
|
||
07.12.2005, 18:19
Member
Beiträge: 4730 |
#6
Firewall: Einen Router zwischen Internet und PC (Software-Firewalls sind Geschmacksache und nicht immer nützlich).
Virenscanner: G Data AntiVirenKit, Bitdefender, Kaspersky, Panda, F-Secure So, jetzt noch SpySweeper (oder haste den schon angewendet?) und den eScanCheck-Report __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 07.12.2005 um 18:22 Uhr von Managor editiert.
|
|
|
||
07.12.2005, 18:28
...neu hier
Themenstarter Beiträge: 4 |
#7
So.
Hab Counterspy uns Spysweper durchlaufen lassen. Dieser Beitrag wurde am 07.12.2005 um 20:40 Uhr von Christoph19 editiert.
|
|
|
||
07.12.2005, 20:30
Member
Beiträge: 4730 |
#8
2: C:\WINDOWS\system32\RpcxSs.dll => Backdoor.Win32.Agent.qs
3: C:\!Submit\bnmsrv.exe => Backdoor.Win32.Agent.qs 4: C:\!Submit\kl.exe => Trojan-Downloader.Win32.Small.byf 5: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-15599ffc-46ec4cd0.class => Trojan.Java.ClassLoader.c 6: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-44eba5ec-6e4bd323.class => Trojan.Java.ClassLoader.Dummy.d 7: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-3cfa0102-6f939961.class => Exploit.Java.Bytverify 8: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-28679adb-25e05665.zip => Trojan-Downloader.Java.OpenConnection.aj 9: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bae16f0-2944b6eb.zip => Trojan-Downloader.Java.OpenConnection.aj 10: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv661.jar-255146ea-3e1f3c8e.zip => Trojan-Downloader.Java.OpenStream.c 11: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv661.jar-897c2ff-15950236.zip => Trojan-Downloader.Java.OpenStream.c 12: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\tool2.exe => Trojan-Clicker.Win32.Spywad.k Diese Dateien von eScanCheck löschen lassen. Vorher jedoch die Systemwiederherstellung deaktivieren. Systemsteuerung -> System -> Systemwiederherstellung Das Problem ist größer als ich befürchtet hatte. Am sinnvollsten wäre es, zu formatieren. Ich schätze, Du hast Dir das über eMule zugezogen (und Du solltest die Einträge aus Deinem Posting rauseditieren, bevor der falsche sieht, was Du Dir runterlädst). Ich empfehle Dir jedenfalls, wenn Du kein Geld für einen Virenscanner ausgeben möchtest, AntiVir zu benutzen (das ist nämlich kostenlos: http://free-av.de) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
Bitte um hilfe.
Logfile of HijackThis v1.99.1
Scan saved at 11:50:49, on 06.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\pc-bib\PCLib.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
gruß