Ergebnis v. Search & Destroy |
||
---|---|---|
#0
| ||
18.04.2006, 08:07
Member
Beiträge: 22 |
||
|
||
18.04.2006, 15:34
Ehrenmitglied
Beiträge: 29434 |
#2
sporder.dll koennte zum New.Net gehoeren...
poste ein Log vom HijackThis, ich schau mal nach __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2006, 09:34
Member
Themenstarter Beiträge: 22 |
#3
Hallo,
Hier ist das Ergebnis. Nach der Auswertung bei www.hijackthis.de sollte ich die Zeile entfernen, die ich rechts mit <<<<<<<<<<<<<<< markiert habe oder? Ggf. sollte ich das per Hand mit RegEdit vornehmen oder kann hijackthis selbst fixen, d.h. nach Haken gesetzt im Programm, allerdings ohne die eine mit Safeguard? Vermutlich habe ich ein Hardwareproblem, denn das Lämpchen für Datenzugriffe flimmert ständig ziemlich schwach aber nur ganz hell, wenn es ein Dateizugriff tatsächlich stattfindet. Merkwürdigerweise bremst das ganze System nur unter WinMe und generell nur nachmittags... so daß es schwer vom Zufall zu sprechen wäre. Ich prüfe später nach, woran es liegen könnte, indem ich jede Festplatte ausschalte... Ich hätte noch diese Fragen am Rand: 1) Antivirus System Tray Tool überträgt ständig Daten nach Außen oder? Wozu tut es dies? 2)Macspeed Spyware/Adware: search.htm (oder searchx.htm) wäre von der Platte ganz zu löschen? (wahrscheinlich habe ich früher bloß mit x deaktiviert) Dies kann ich aber auch im Reg ganz entfernen, nicht wahr? HKLM\Microsoft office\Templates\1031\Pages\search.tem\search.htm Ich benutze aber nicht mehr IE sondern nur noch Mozilla Firefox seit langer Zeit. Ich füge aber auch einen Auszug v. Protokoll vom Escan hinzu... MfG +++ Escan- Protokoll: Tue Apr 18 17:11:09 2006 => ***** Scanning Registry and File system for Adware/Spyware ***** Tue Apr 18 17:11:09 2006 => Loading Spyware Signatures from FIXED Database... Tue Apr 18 17:11:10 2006 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Apr 18 17:11:17 2006 => Offending value found in HKLM\Software\180Solutions !!! Tue Apr 18 17:11:17 2006 => Object "180Solutions Spyware/Adware" found in File System! Action Taken: No Action Taken. Tue Apr 18 17:11:19 2006 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Tue Apr 18 17:11:19 2006 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Tue Apr 18 17:11:40 2006 => System found infected with MaxSpeed Spyware/Adware (searchx.htm)! Action taken: No Action Taken. Tue Apr 18 17:11:42 2006 => ***** Scanning Registry for errors created because of Adware/Spyware ***** usw ... es gibt da eine ganze Menge aber ich weiß nicht, ob ich da alles einfach llöschen sollte... <g> +++ Logfile of HijackThis v1.99.1 Scan saved at 08:53:04, on 19.04.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINME\SYSTEM\KERNEL32.DLL C:\WINME\SYSTEM\MSGSRV32.EXE C:\WINME\SYSTEM\mmtask.tsk C:\WINME\SYSTEM\MPREXE.EXE C:\WINME\SYSTEM\MSTASK.EXE C:\WINME\SYSTEM\ZONELABS\VSMON.EXE C:\WINME\SYSTEM\ZONELABS\MINILOG.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\WINME\EXPLORER.EXE C:\WINME\TASKMON.EXE C:\WINME\SYSTEM\SYSTRAY.EXE C:\WINME\SYSTEM\RESTORE\STMGR.EXE D:\MULTISYSTEM\TROJANCHECK 6\TCGUARD.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE D:\MULTISYSTEM\SMTPAUTH\SMTPAUTH.EXE C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE D:\MULTISYSTEM\LOTUS\ORGANIZE\EASYCLIP.EXE C:\WINME\SYSTEM\WMIEXE.EXE D:\MULTISYSTEM\SPYWAREGUARD\SGMAIN.EXE C:\WINME\DRWATSON.EXE D:\MULTISYSTEM\SPYWAREGUARD\SGBHP.EXE D:\MULTISYSTEM\TOOLS\WINTOOLS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.254 O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRAMME\TEXTWARE\QUICKFIND\PLUGINS\IEHELP.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\MULTISYSTEM\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\MULTISYSTEM\NETTRANSPORT 2\NTIEHELPER.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - D:\MULTISYSTEM\SUPERADBLOCKER\SABBHO.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\MULTIS~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\MULTISYSTEM\SPYWAREGUARD\DLPROTECT.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINME\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) <<<<<<<<<<<<<<<<<<<<<<<<< O4 - HKLM\..\Run: [ScanRegistry] C:\WINME\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINME\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Iomega Startup Options] d:\syswinme\system\iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] d:\syswinme\system\iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [MSConfigReminder] C:\WINME\SYSTEM\msconfig.exe /reminder O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\MULTISYSTEM\TROJANCHECK 6\TCGUARD.EXE O4 - HKLM\..\Run: [PCHealth] C:\WINME\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINME\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINME\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [MiniLog] C:\WINME\SYSTEM\ZONELABS\MINILOG.EXE -service O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - HKCU\..\Run: [SMTPAuth] D:\MULTISYSTEM\SMTPAUTH\SMTPAUTH.EXE O4 - HKCU\..\Run: [ZBroadband Router Utility] F:\GATE-MON V3.00.EXE O4 - Startup: Lotus Organizer EasyClip.lnk = D:\MultiSystem\lotus\organize\easyclip.exe O4 - Startup: SpywareGuard.lnk = D:\MultiSystem\SpywareGuard\sgmain.exe O4 - Startup: DRWATSON.EXE.lnk = C:\WINME\DRWATSON.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddList.html O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O12 - Plugin for .de/erwerbslose/anlaufpunkte_&_adressen/musterbriefe_alg_ii/anzurechnende_vermoegen: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/257ba076f1619db12f16/netzip/RdxIE601_de.cab O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - https://www.plaxo.com/down/release/PlaxoInstall.cab <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< O16 - DPF: {7085E4EE-7531-11D8-B7AD-00E04CAB5EB7} (Installer Class) - http://getsafeguard.com/cab/safeguardfree.CAB <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.5.115.141,194.25.2.129 |
|
|
||
19.04.2006, 11:07
Ehrenmitglied
Beiträge: 29434 |
#4
Merlinux
ich denke, die Spyware kommt vom : O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\MULTISYSTEM\NETTRANSPORT 2\NTIEHELPER.DLL O8 - Extra context menu item: Mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddList.html ------------------------- ueberpruefe es mit Spyxposer http://virus-protect.org/antispytools.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2006, 15:21
Member
Themenstarter Beiträge: 22 |
#5
Hallo Sabina,
Danke für die Mühe, aber ich möchte erstmals bezweifeln, daß es daran liegt, zumal ich dieses Programm seit über einem Jahr habe. Wenn es so wäre, hätte ich schon längst dieses Problem gehabt. Die von Ihnen erwähnte Dateien sind übrigens aus dem Jahr 2002 und 2004. NeTtransport ist übrigens nicht mehr aktiv, seitdem alle Download vom Mozilla Firefox kontrolliert wird. Sicherheitshalber habe ich diese beiden merkwürdigen Dateien vorläufig umbenannt. Leider kann ich Spyxposer nicht benutzen, da es nur mit IE geht und ich Mozilla Firefolx benutze... Ich frage aber hier nochmals: soll ich mit HijackThis die von mir markierten Einträgen fixen lassen? Außerdem und unabhängig davon gibt es nun seit heute eine deutliche Verbesserung, als wären alle Probleme weg, obwohl ich bisher nichts unternommen habe, außer dieser Ausnahme. Mein CD-Writer-Laufwerk ist defekt, zwar schon seit einiger Zeit aber neulich konnte ich meinen PC nicht mehr booten und es leuchtete ständig an diesem Laufwerk. Ich habe nun dessen Strom herausgezogen und ich kann wieder Booten. Seitdem habe ich alle Probleme mit der Maus oder mit der Bremse bzw. Frieren am Desktop mit Leistungsverlust oder mit merkwürdigen Dingen beim Scrollen auf dem Browser nicht mehr. All diese Probleme sind einfach zum ersten Mal weg!! Ich beobachte aber noch weiter und was sporder.dll angeht, schreibe ich mal dem Hersteller mit der Bitte um Angabe von Datum und Checksum. Gruß |
|
|
||
19.04.2006, 15:35
Ehrenmitglied
Beiträge: 29434 |
#6
du benutzt es sowieso nicht mehr:
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\MULTISYSTEM\NETTRANSPORT 2\NTIEHELPER.DLL O8 - Extra context menu item: Mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Alles mit Net Transport herunterladen - D:\MultiSystem\NetTransport 2\NTAddList.html PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.04.2006, 09:18
Member
Themenstarter Beiträge: 22 |
#7
Ergänzend zu der unteren Nachricht füge ich hier hinzu.
Ich habe den Rechenr erneut gebootet und habe dieses Problem mit ZA erstmals nicht mehr. (Siehe Protokoll unten) Ich habe aber dann dieses Programm heruntergeladen, um alle Prozesse unter der Lupe zu nehmen: http://www.neuber.com/taskmanager/deutsch/index.html Dabei ist mir diese Meldung aufgetaucht: "Der Ordner Ihrer Host Datei wurde zu "" umgeändert. Er sollte aber %WinDir% sein. Korrigieren? Den Ordner "" finde ich aber nicht. Korrigiert habe ich momentan nicht und lmhosts.sam befindet sich doch im Windowsverz., allerdings in anderen Name als bloß /Windows. Was kann ich noch da nachprüfen oder korrigieren? Wo sollt ich bitte unter Winme manuell checken und evtl. fremde Ips entfernen? Im ZA finde ich sonst dieses Programm: \SYSTEM\WBEM\WINmGMT.EXE das vielleicht nicht zuvor überwacht worden war, d.h. ich habe es anscheinend vorher noch nicht gemerkt, bis zu diesem Vorfall unten. Im Prozeß ist aber im Moment nicht... +++ Hallo, am Nettransport berühre ich im Moment nicht, falls ich das wieder in Zukunft verwenden möchte. Das startet übrigens nur mit IE und ich benutze nur FireFox. Allgemeines habe ich solche Probleme nicht mehr, seitdem ich das CD-Writer Laufwerk vollkommen vom Rechner getrennt habe, als dieser plötzlich nicht mehr booten wollte. Nun arbeitet der PC mit voller Leistung und das Lämpchen für Dateizugriffe flimmert nicht mehr schwar wie bisher wegen des CD.Writer-Laufwerks, das sicherlich Konflikte in der Elektronik verursachte und somit die Leitung des Betriebssystems bremste, als wäre es ein Trojaner gewesen. So Vorgestern und noch gestern lief alles einfwandfrei, außer der merküwrdigen Tatsache, daß ich nicht immer Profile von icq-Users im Details-Viewer sehen konnte. Seit heute morgen scheint aber ZoneAlarm zu klemmen, mit solch unendlichen Meldungen, daß ein unbekanntes Programm ins Internet versucht. Namen der Datei gleicher Größe sehe ich aber nur auf Info der Webseite v. ZA, wie weiter unten: Ich habe nur die ersten kopiert, da es scheint unendlich zu sein, so daß ich sicher den PC neu booten muß, damit ZA damit aufhört. Merkwürdig ist die IP Adresse von Remote-Rechner nur 0.0.0.0. Ich gehe also davon aus, daß es sich um einen falschen Alarm. Besonders merkwürdig ist mit Systeminformation von Winme und Netzwerkdiagnose, daß Loopback 127.0.0.1, Netzwerkadapter, und DefaultGateway - ich benutze einen Router - nicht erreichbar seien, obwohl ich mit Ping im MS-Dos Fenster erfolgreich pingen kann. Ich kann übrigens im Internet wie hier surfen... Irgend etwas stimmt also nicht... +++ Alert property Alert property value Technical explanation Program Name �FFFFA0�FFFFE6o A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet. Filename �FFFFA0�FFFFE6o The filename of the program that ZoneAlarm found on your computer. Program Version �FFFFA0�FFFFE6o The version of �FFFFA0�FFFFE6o running on your computer. Program Size 28376344 The size of the program executable file in bytes. Program MD5 a0e66f003c006c00547970653a207465 The MD5 hash, or number, that uniquely identifies the executable. Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity. Date Modified Jan-17-1981 07:40:48 AM The date when �FFFFA0�FFFFE6o was most recently modified. Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFFA0�FFFFE6o or Server, which indicates that �FFFFA0�FFFFE6o is waiting for connections coming in from the Internet. Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert. Alert Date Apr-24-2006 11:22:28 PM PDT The time when ZoneAlarm detected the alert on your computer. Inside the program alert Alert property Alert property value Technical explanation Program Name ^L A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet. Filename ^L The filename of the program that ZoneAlarm found on your computer. Program Version ^L The version of ^L running on your computer. Program Size 28376344 The size of the program executable file in bytes. Program MD5 0c006c003c006c000000000000000000 The MD5 hash, or number, that uniquely identifies the executable. Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity. Date Modified Jan-17-1981 07:40:48 AM The date when ^L was most recently modified. Connect Type Access This value can be either Access, which is an Internet connection attempt by ^L or Server, which indicates that ^L is waiting for connections coming in from the Internet. Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert. Alert Date Apr-24-2006 11:22:28 PM PDT The time when ZoneAlarm detected the alert on your computer. Inside the program alert Alert property Alert property value Technical explanation Program Name �FFFFB4�FFFFB0p A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet. Filename �FFFFB4�FFFFB0p The filename of the program that ZoneAlarm found on your computer. Program Version �FFFFB4�FFFFB0p The version of �FFFFB4�FFFFB0p running on your computer. Program Size 28376344 The size of the program executable file in bytes. Program MD5 b4b07000a0e66f00455253494f4e5f49 The MD5 hash, or number, that uniquely identifies the executable. Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity. Date Modified Jan-17-1981 07:40:48 AM The date when �FFFFB4�FFFFB0p was most recently modified. Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFFB4�FFFFB0p or Server, which indicates that �FFFFB4�FFFFB0p is waiting for connections coming in from the Internet. Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert. Alert Date Apr-24-2006 11:22:25 PM PDT The time when ZoneAlarm detected the alert on your computer. Inside the program alert Alert property Alert property value Technical explanation Program Name �FFFFB4�FFFFB0p A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet. Filename �FFFFB4�FFFFB0p The filename of the program that ZoneAlarm found on your computer. Program Version �FFFFB4�FFFFB0p The version of �FFFFB4�FFFFB0p running on your computer. Program Size 28376344 The size of the program executable file in bytes. Program MD5 b4b07000a0e66f00455253494f4e5f49 The MD5 hash, or number, that uniquely identifies the executable. Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity. Date Modified Jan-17-1981 07:40:48 AM The date when �FFFFB4�FFFFB0p was most recently modified. Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFFB4�FFFFB0p or Server, which indicates that �FFFFB4�FFFFB0p is waiting for connections coming in from the Internet. Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert. Alert Date Apr-24-2006 11:22:25 PM PDT The time when ZoneAlarm detected the alert on your computer. Inside the program alert Alert property Alert property value Technical explanation Program Name �FFFF8C�FFFFD5p A program running on your computer, which either attempted to send an IP packet over the Internet or is waiting for an incoming packet. Filename �FFFF8C�FFFFD5p The filename of the program that ZoneAlarm found on your computer. Program Version �FFFF8C�FFFFD5p The version of �FFFF8C�FFFFD5p running on your computer. Program Size 28376344 The size of the program executable file in bytes. Program MD5 8cd5700020c37000455253494f4e5f49 The MD5 hash, or number, that uniquely identifies the executable. Program CRC 1b0fd18 The Cyclic Redundancy Check (CRC) checksum for the executable. This is the result of an algorithm for ensuring data integrity. Date Modified Jan-17-1981 07:40:48 AM The date when �FFFF8C�FFFFD5p was most recently modified. Connect Type Access This value can be either Access, which is an Internet connection attempt by �FFFF8C�FFFFD5p or Server, which indicates that �FFFF8C�FFFFD5p is waiting for connections coming in from the Internet. Remote IP Address 0.0.0.0 The IP address of the remote computer that caused the alert. Alert Date Apr-24-2006 11:22:25 PM PDT The time when ZoneAlarm detected the alert on your computer. Dieser Beitrag wurde am 23.04.2006 um 10:35 Uhr von Merlinux editiert.
|
|
|
||
23.04.2006, 15:47
Ehrenmitglied
Beiträge: 29434 |
#8
HijackThis (Host)
HOSTFILE: *öffne das HijackThis *Do a system scan only *Config *Misc Tools *Open Hosts file Manager kopiere ab, was du findest. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.04.2006, 18:03
Member
Themenstarter Beiträge: 22 |
||
|
||
23.04.2006, 19:00
Ehrenmitglied
Beiträge: 29434 |
#10
Hoster.zip
http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zunächst einmal habe ich mit Serach & Destroy folgende Dateien entdeckt aber bin mir noch nicht sicher, ob es sinnvoll ist, sie "endgültig" zu löschen.
- Alexa Related \Win\Web\Related.HTM
- Acdelerartion \WIN\SYSTEM\sporder.dll
letztere Date ist gerade neulich erstellt worden, also Anfang diesen Monats und ich weiß im Moment nicht von wem und wofür.
Ich suche also nach dem Datum für alle erstellten Dateien und ich finde AVira AntiVir PersonalEdition Classic, das ich aber erst einige Stunden zuvor installierte.
Mir fällt aber auf, daß solche Dateien noch im Verz sind: /WIN/TEMP/RARSFX0/basic ohne elöscht gewesen zu sein. Sicherlich waren die Dateien entpackt. Ich gehe davon aus, daß ich sie noch manuell löschen kann.
Beunruhigend dagegen ist, daß ich solche Dateien, die also erst 3 Stunden nach Erstellung von sporder.dll, gekommen sind:
- avcmd.exe
- avewin32.dll
- avguard.vxd
Die Daei sporder.dll ist auch dabei, sowohl in diesem Verz. als auch im Verz. von AV-Programm.
Mich wundert es nur daß sporder.dll erst etwa 5 Stunden später im /WIN/SYSTEM erstellt worden ist. Das wäre verdächtig oder?
Das gilt auch für avguard.vxd, auch wenn die Checksumm stimmt, schon wegen der Tatsache, daß die Erstellung Uhrzeit an demselben Tag auf spätere Uhrzeit als die Installation von AV-Programm aufweist, allerdings erst nach der von sporder.dll im System-Verz.
Ich habe habe danach einige Udates von AV geholt aber avguard bleibt gleich, so daß es nicht damit zusammenhängen würde.
Auffällig im Browser, sicher unabhängig vom o. g. Errreignissen, war, daß der Maus-Cursor zuweilen bremste oder aufhielt, aber scho ziemlich oft nach links oder rechts auf langer Strecke rutschte, als ich die Scroll-Leister des Browsers nach oben oder untern ziehen wollte.
Last but not least, merke ich nach dem Booten, wie sich der Desktop (v. WinMe) nach seiner vollständigen Darstellung auf dem Bildschirm, am Ende nur noch am rechten Rand um etwa 1 Millimeter sprunghaft vergrößert, was ich zuvor noch nicht gemerkt hatte. Wäre das normal?
Grüße,
Vielleicht handelt es sich um Udpdates