Home » Viren, Trojaner & Malware Forum » 100% system auslastung bei IE - Wieso? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3 4 5 6 Letzte Seite

Antworten

100% system auslastung bei IE - Wieso?

Thema ist geschlossen!

30.11.2003, 00:36

seb-software

Member

Beiträge: 37

#31 Hi, Raman
hier mein neues log
Logfile of HijackThis v1.97.7
Scan saved at 03:27:52, on 04.11.2000
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Programme\System Security\System Security.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
D:\Anwendungen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nexgo.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 218.65.206.116:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [System Security] C:\Programme\System Security\System Security.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

sollte ich wohl noch sp4 raufbügeln oder ?

Danke schon mal im voraus
Wünsche Dir eine gute Nacht
melde mich dann heute nachmittag nochmal
aber der Rechner läuft wieder Perfekt.

Dieser Beitrag wurde am 30.11.2003 um 00:36 Uhr von seb-software editiert.

30.11.2003, 06:56

raman

Moderator

Beiträge: 7805

#32 Du musst noch einiges machen. Die ganzen Viren werden zwar nicht mehr gestartet, sind aber alle noch auf deine Festplatte. Einen onlinescan wuerde ich also trotzdem noch machen. Du musst dir auch ueberlegen, welche Av Software du nun einsetzen moechtest. Wenn es wieder Norton sein soll, denke daran, es immer aktuell zu halten. Vom Programm(2003, 2004) und von den Signaturen. Oder nimm ein besseres wie Kaspersky oder Gdata, einige Freewareprogramme sind auch nicht schlechtwie, Antivir(www.free-av.de) oder Avast(www.avast.com).
Um die Updates fuer Windows und den IE kommst du auchnicht herum. Mache das am besten ueber www.windowsupdate.com. Bitte nicht vergessen auch "Microsoft Java Virtual Machine" mit upzudaten, da dir sonst der Coolwebsearch wieder ueber den Weg laufen wird.
Ein/Zwei Anit-Spyware Programm solltest du dir auch zulegen. Spybot(security.kolla.de) und Adaware(www.lavasoft.com). Beides ist in einer Freewareversion zu bekommen.
__________
MfG Ralf
SEO-Spam Hunter

30.11.2003, 06:58

raman

Moderator

Beiträge: 7805

#33 Da faellt mir gerade ein, ich kann mit diesem Programm nichts anfangen:
O4 - HKLM\..\Run: [System Security] C:\Programme\System Security\System Security.exe
__________
MfG Ralf
SEO-Spam Hunter

30.11.2003, 11:19

seb-software

Member

Beiträge: 37

#34 Hi, raman
System Security ist auch so ein kleines AV-Programm. Aber es scheint
wohl nichts gebracht zu haben.
Wie kann ich einen Onlinescan machen (Neuling).
Dann noch etwas. Hier ist der log von meiner Tochter. Nur bitte mal
drüberschauen.

Logfile of HijackThis v1.97.7
Scan saved at 11:02:24, on 30.11.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\WINDOWS\System32\System32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee VirusScan\Webscanx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\PROGRA~1\COMMON~1\Toolbar\comwiz.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Seti\SetiHide.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Seti\seti.exe
C:\exe-Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://engelstraenen.d-be-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~1\Toolbar\cnbabe.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Verknüpfung mit SetiHide.lnk = C:\Programme\Seti\SetiHide.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O11 - Options group: [CommonName] CommonName
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62F8931B-4812-491D-809B-5F48808F4316}: NameServer = 62.225.253.9 194.25.2.129

Dann hat Sie noch ein anderes Prob. In unregelmäßigen Abständen, häufig
nachdem ein Ordner geschlossen wird, sind auf dem Desktop folgende
Dateien abgelegt:
hs_err_pid1472, hs_err_pid3632, hs_err_pid5196 usw. Das sind Textdateien
mit folgendem Inhalt:

n unexpected exception has been detected in native code outside the VM.
Unexpected Signal : EXCEPTION_ACCESS_VIOLATION occurred at PC=0x6D06B309
Function=Java_sun_awt_windows_WColor_getDefaultColor+0x20C0
Library=C:\Programme\Java\j2re1.4.1_01\bin\awt.dll

Current Java thread:
at sun.awt.windows.WToolkit.eventLoop(Native Method)
at sun.awt.windows.WToolkit.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)

Dynamic libraries:
0x00400000 - 0x00419000 C:\Programme\Internet Explorer\iexplore.exe
0x77F40000 - 0x77FEE000 C:\WINDOWS\System32\ntdll.dll
0x77E40000 - 0x77F38000 C:\WINDOWS\system32\kernel32.dll
0x77BE0000 - 0x77C33000 C:\WINDOWS\system32\msvcrt.dll
0x77D10000 - 0x77D9C000 C:\WINDOWS\system32\USER32.dll
0x77C40000 - 0x77C80000 C:\WINDOWS\system32\GDI32.dll
0x77DA0000 - 0x77E3C000 C:\WINDOWS\system32\ADVAPI32.dll
0x78000000 - 0x78086000 C:\WINDOWS\system32\RPCRT4.dll
0x772A0000 - 0x77304000 C:\WINDOWS\system32\SHLWAPI.dll
0x76970000 - 0x76ABA000 C:\WINDOWS\System32\SHDOCVW.dll
0x78090000 - 0x78174000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
0x773A0000 - 0x77BA1000 C:\WINDOWS\system32\SHELL32.dll
0x77310000 - 0x7739B000 C:\WINDOWS\system32\comctl32.dll
0x7CCC0000 - 0x7CDE1000 C:\WINDOWS\system32\ole32.dll
0x5B0F0000 - 0x5B124000 C:\WINDOWS\System32\uxtheme.dll
0x75F20000 - 0x7601C000 C:\WINDOWS\System32\BROWSEUI.dll
0x723C0000 - 0x723D3000 C:\WINDOWS\System32\browselc.dll
0x75EE0000 - 0x75EFF000 C:\WINDOWS\system32\appHelp.dll
0x76F90000 - 0x77008000 C:\WINDOWS\System32\CLBCATQ.DLL
0x770F0000 - 0x7717B000 C:\WINDOWS\system32\OLEAUT32.dll
0x77010000 - 0x770E3000 C:\WINDOWS\System32\COMRes.dll
0x77BD0000 - 0x77BD7000 C:\WINDOWS\system32\VERSION.dll
0x761A0000 - 0x76239000 C:\WINDOWS\system32\WININET.dll
0x76260000 - 0x762EC000 C:\WINDOWS\system32\CRYPT32.dll
0x76240000 - 0x7624F000 C:\WINDOWS\system32\MSASN1.dll
0x76F50000 - 0x76F60000 C:\WINDOWS\System32\Secur32.dll
0x765C0000 - 0x76610000 C:\WINDOWS\System32\cscui.dll
0x765A0000 - 0x765BB000 C:\WINDOWS\System32\CSCDLL.dll
0x76620000 - 0x76708000 C:\WINDOWS\System32\SETUPAPI.dll
0x10000000 - 0x10034000 C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
0x76EA0000 - 0x76ED7000 C:\WINDOWS\System32\RASAPI32.DLL
0x76E50000 - 0x76E61000 C:\WINDOWS\System32\rasman.dll
0x71A10000 - 0x71A25000 C:\WINDOWS\System32\WS2_32.dll
0x71A00000 - 0x71A08000 C:\WINDOWS\System32\WS2HELP.dll
0x71BA0000 - 0x71BEE000 C:\WINDOWS\System32\NETAPI32.dll
0x76E70000 - 0x76E9B000 C:\WINDOWS\System32\TAPI32.dll
0x76E40000 - 0x76E4D000 C:\WINDOWS\System32\rtutils.dll
0x76AF0000 - 0x76B1D000 C:\WINDOWS\System32\WINMM.dll
0x71A30000 - 0x71A39000 C:\WINDOWS\System32\wsock32.dll
0x75A10000 - 0x75AB7000 C:\WINDOWS\system32\USERENV.dll
0x0FFD0000 - 0x0FFF3000 C:\WINDOWS\System32\rsaenh.dll
0x01200000 - 0x0121B000 C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL
0x76090000 - 0x7610A000 C:\WINDOWS\system32\urlmon.dll
0x01270000 - 0x01284000 C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
0x76110000 - 0x7619E000 C:\WINDOWS\System32\shdoclc.dll
0x014F0000 - 0x0150D000 C:\PROGRA~1\COMMON~1\Toolbar\cnbabe.dll
0x5F1A0000 - 0x5F1BA000 C:\WINDOWS\System32\OLEPRO32.DLL
0x75E30000 - 0x75ED8000 C:\WINDOWS\System32\SXS.DLL
0x01640000 - 0x0164B000 C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
0x01650000 - 0x01675000 C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll
0x71EF0000 - 0x71EF8000 C:\WINDOWS\System32\snmpapi.dll
0x746F0000 - 0x7477F000 C:\WINDOWS\System32\mlang.dll
0x719B0000 - 0x719EC000 C:\WINDOWS\system32\mswsock.dll
0x719F0000 - 0x719F8000 C:\WINDOWS\System32\wshtcpip.dll
0x76EE0000 - 0x76F05000 C:\WINDOWS\System32\DNSAPI.dll
0x76F70000 - 0x76F77000 C:\WINDOWS\System32\winrnr.dll
0x76F20000 - 0x76F4D000 C:\WINDOWS\system32\WLDAP32.dll
0x01950000 - 0x01B51000 C:\WINDOWS\System32\msi.dll
0x76F80000 - 0x76F85000 C:\WINDOWS\System32\rasadhlp.dll
0x74790000 - 0x74A47000 C:\WINDOWS\System32\mshtml.dll
0x74670000 - 0x74696000 C:\WINDOWS\System32\msimtf.dll
0x746A0000 - 0x746E4000 C:\WINDOWS\System32\MSCTF.dll
0x76330000 - 0x7634C000 C:\WINDOWS\System32\IMM32.DLL
0x75BF0000 - 0x75C81000 C:\WINDOWS\System32\jscript.dll
0x74640000 - 0x74667000 C:\WINDOWS\System32\MSLS31.DLL
0x11000000 - 0x1101E000 C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.DLL
0x12000000 - 0x120B9000 C:\Programme\Gemeinsame Dateien\GMT\egieengine.dll
0x76350000 - 0x76396000 C:\WINDOWS\system32\comdlg32.dll
0x72F70000 - 0x72F93000 C:\WINDOWS\System32\WINSPOOL.DRV
0x74CB0000 - 0x74CD1000 C:\WINDOWS\System32\oledlg.dll
0x76CA0000 - 0x76CBF000 C:\WINDOWS\System32\NTMARTA.DLL
0x71B70000 - 0x71B81000 C:\WINDOWS\System32\SAMLIB.dll
0x11C00000 - 0x11C3E000 C:\Programme\McAfee\McAfee VirusScan\Wbhook32.dll
0x030F0000 - 0x030FA000 C:\Programme\McAfee\McAfee VirusScan\Res00\WbhkRes.dll
0x03100000 - 0x03112000 C:\Programme\Gemeinsame Dateien\Network Associates\McPal\NAKRNL32.DLL
0x03230000 - 0x03260000 C:\Programme\Gemeinsame Dateien\Network Associates\McPal\NAUTIL32.DLL
0x71A80000 - 0x71A91000 C:\WINDOWS\system32\MPR.dll
0x03370000 - 0x03375000 C:\Programme\Gemeinsame Dateien\Network Associates\McPal\Res0901\naUtlRes.dll
0x03380000 - 0x034BC000 C:\Programme\Gemeinsame Dateien\Network Associates\VirusScan Engine\4.0.xx\MCSCAN32.DLL
0x035D0000 - 0x0361E000 C:\Programme\Gemeinsame Dateien\Network Associates\McPal\naARCHIV.DLL
0x73DC0000 - 0x73DC3000 C:\WINDOWS\system32\LZ32.dll
0x03730000 - 0x03759000 C:\Programme\Gemeinsame Dateien\Network Associates\McPal\NAEVENT.DLL
0x03870000 - 0x03877000 C:\Programme\Gemeinsame Dateien\Network Associates\McPal\Res0901\naEvtRes.dll
0x11400000 - 0x11439000 C:\Programme\McAfee\McAfee VirusScan\VsUtil.dll
0x03990000 - 0x039A3000 C:\Programme\McAfee\McAfee VirusScan\Res00\VsutlRes.dll
0x11D00000 - 0x11D1A000 C:\Programme\McAfee\McAfee VirusScan\NTClient.dll
0x11A00000 - 0x11A43000 C:\Programme\McAfee\McAfee VirusScan\Syncutil.dll
0x11700000 - 0x11774000 C:\Programme\McAfee\McAfee VirusScan\Res00\ResDll.dll
0x13000000 - 0x1300D000 C:\Programme\Gemeinsame Dateien\Network Associates\VirusScan Engine\4.0.xx\AvParam.dll
0x72C90000 - 0x72C99000 C:\WINDOWS\System32\wdmaud.drv
0x72C80000 - 0x72C88000 C:\WINDOWS\System32\msacm32.drv
0x77BB0000 - 0x77BC4000 C:\WINDOWS\System32\MSACM32.dll
0x04280000 - 0x04287000 C:\WINDOWS\System32\midimap.dll
0x74C30000 - 0x74C9F000 C:\WINDOWS\System32\mshtmled.dll
0x71CC0000 - 0x71CDB000 C:\WINDOWS\System32\actxprxy.dll
0x32520000 - 0x32532000 C:\Programme\Microsoft Office\Office10\msohev.dll
0x6D7E0000 - 0x6D7EF000 C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
0x6D740000 - 0x6D752000 C:\Programme\Java\j2re1.4.1_01\bin\jpiexp32.dll
0x6D780000 - 0x6D794000 C:\Programme\Java\j2re1.4.1_01\bin\jpishare.dll
0x6D330000 - 0x6D45A000 C:\PROGRA~1\Java\J2RE14~1.1_0\bin\client\jvm.dll
0x6D1D0000 - 0x6D1D7000 C:\PROGRA~1\Java\J2RE14~1.1_0\bin\hpi.dll
0x6D300000 - 0x6D30D000 C:\PROGRA~1\Java\J2RE14~1.1_0\bin\verify.dll
0x6D210000 - 0x6D229000 C:\PROGRA~1\Java\J2RE14~1.1_0\bin\java.dll
0x6D320000 - 0x6D32D000 C:\PROGRA~1\Java\J2RE14~1.1_0\bin\zip.dll
0x6D000000 - 0x6D0FB000 C:\Programme\Java\j2re1.4.1_01\bin\awt.dll
0x6D180000 - 0x6D1D0000 C:\Programme\Java\j2re1.4.1_01\bin\fontmanager.dll
0x51000000 - 0x51047000 C:\WINDOWS\System32\ddraw.dll
0x73B30000 - 0x73B36000 C:\WINDOWS\System32\DCIMAN32.dll
0x6D910000 - 0x6D981000 C:\WINDOWS\System32\D3DIM.DLL
0x6D6E0000 - 0x6D6F1000 C:\Programme\Java\j2re1.4.1_01\bin\jpicom32.dll
0x6D2D0000 - 0x6D2DE000 C:\Programme\Java\j2re1.4.1_01\bin\net.dll
0x6D130000 - 0x6D152000 C:\Programme\Java\j2re1.4.1_01\bin\dcpr.dll
0x6D280000 - 0x6D29E000 C:\Programme\Java\j2re1.4.1_01\bin\jpeg.dll
0x6D2A0000 - 0x6D2C1000 C:\Programme\Java\j2re1.4.1_01\bin\jsound.dll
0x73250000 - 0x73255000 C:\WINDOWS\System32\RICHED32.DLL
0x74DB0000 - 0x74E1A000 C:\WINDOWS\System32\RICHED20.dll
0x76C50000 - 0x76C72000 C:\WINDOWS\system32\imagehlp.dll
0x6DA00000 - 0x6DA7D000 C:\WINDOWS\system32\DBGHELP.dll
0x76BB0000 - 0x76BBB000 C:\WINDOWS\System32\PSAPI.DLL

Local Time = Sat Nov 29 15:48:39 2003
Elapsed Time = 3266
#
# The exception above was detected in native code outside the VM
#
# Java VM: Java HotSpot(TM) Client VM (1.4.1_01-b01 mixed mode)
#
können diese Dateien gelöscht werden ?
Dank im Voraus.

30.11.2003, 11:42

raman

Moderator

Beiträge: 7805

#35

Zitat

seb-software postete
Hi, raman
System Security ist auch so ein kleines AV-Programm. Aber es scheint
wohl nichts gebracht zu haben.
Wie kann ich einen Onlinescan machen (Neuling).

Nutze diesen Link: http://www.bul-online.de/av/onlinescan.html dort klickst du auf das Logo von RAV, dann popt ein neues Fenster auf und der Rest sollte selbsterklaerend sein, sofern man etwas Englisch kann.

Wenn das "system security" nichts bringt, loesche es mit hijackthis.

__________
MfG Ralf
SEO-Spam Hunter

30.11.2003, 11:51

seb-software

Member

Beiträge: 37

#36 Hi, raman
RAV gibt es dort nicht. Welchen soll ich dann nehmen ?

30.11.2003, 11:54

raman

Moderator

Beiträge: 7805

#37

Zitat

seb-software postete

Dann noch etwas. Hier ist der log von meiner Tochter. Nur bitte mal
drüberschauen.

Das artet ja in arbeit aus!

Da gibt es auch einiges. Sie nutzt ja schon Mcafee( ist sehr gut) Sie sollte nur darauf achten, das sie die aktuellen Signaturen und Scanengine hat. Lass sie mal das neuste Sdat file(aktuell sdat4306.exe) von hier herunterladen: ftp://ftpeur.nai.com/pub/antivirus/datfiles/4.x/ . Haeufig www.windowsupdate.com aufsuchen brauch ich wohl nicht erwaehnen.

Diese Sachen von Hijackthis fixen lassen und nach einem Neustart die Datei system32.exe suche und loeschen.

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~1\Toolbar\cnbabe.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O11 - Options group: [CommonName] CommonName
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62F8931B-4812-491D-809B-5F48808F4316}: NameServer = 62.225.253.9 194.25.2.129

hs_err_pid1472, hs_err_pid3632, hs_err_pid5196 usw. Das sind Textdateien

Diese Dateien kann sie auch loeschen.

Adaware und spybot sollte sie sich auch eimal zulegen.
__________
MfG Ralf
SEO-Spam Hunter

30.11.2003, 11:57

raman

Moderator

Beiträge: 7805

#38

Zitat

seb-software postete
Hi, raman
RAV gibt es dort nicht. Welchen soll ich dann nehmen ?

Doch, das ist der ueber DRWEB und unter Symantec!

Ich mag Trend micro nicht so besonders, wird aber haeufig empfohlen.
__________
MfG Ralf
SEO-Spam Hunter

30.11.2003, 12:14

seb-software

Member

Beiträge: 37

#39 Wenn ich könnte, würd ich Dir gern ne Runde Bier und ein Essen ausgeben.
Habe nun ein Onlinescan gemacht.
Hat alle (10) Viren gelöscht. Nur bei einem File
wird folgendes geschrieben:
Alle infizierten Inhalte der komprimierten Datei: C:\Winnt\System32\CatRoot\
F750E6C3-38EE-11DD1-85E5-00c04FC295EE\rmtcfg.rar
konnten nicht gelöscht werden. Möchten Sie die ganze Datei löschen ?
BKDR_IROFFER.B
Soll ich die komplett löschen lassen ?

Dieser Beitrag wurde am 30.11.2003 um 12:32 Uhr von seb-software editiert.

30.11.2003, 12:22

seb-software

Member

Beiträge: 37

#40 Hi, erstmal das letzte mal.
Meine Tochter sagt gerade wenn system32.exe gelöscht wird. Kommen
häufige Anfragen: system32.exe nicht gefunden bitte installieren Sie erneut.
byby

30.11.2003, 12:31

raman

Moderator

Beiträge: 7805

#41

Zitat

seb-software postete
Alle infizierten Inhalte der komprimierten Datei: C:\Winnt\System32\CatRoot\
F750E6C3-38EE-11DD1-85E5-00c04FC295EE\rmtcfg.rar
konnten nicht gelöscht werden. Möchten Sie die ganze Datei löschen ?

Ja, du kannst das ganze Archiv(rar) loeschen lassen.
__________
MfG Ralf
SEO-Spam Hunter

30.11.2003, 12:45

raman

Moderator

Beiträge: 7805

#42

Zitat

seb-software postete
Kommen häufige Anfragen: system32.exe nicht gefunden bitte installieren Sie erneut.

Daran sieht man wieder, das man genauer nachhaken sollte!

Die Exe hat sich bestimmt irgendwo hier eingetragen:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"
nur steht bei ihr bestimmt da die system32.exe

Sie soll sich mal diese Datei herunterladen: http://www.diamondcs.com.au/cleanrun.reg
und einfach doppelt anklicken. Wenn sie Pech hat, muss sie das im abgesicherten Modus von Windows machen.
__________
MfG Ralf
SEO-Spam Hunter

01.12.2003, 23:13

SkYlaX

...neu hier

Beiträge: 2

#43 Kannst du mein Log evtl auch mal durchsehen? *liebschau*

Logfile of HijackThis v1.97.7
Scan saved at 23:12:24, on 01.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Power Management\PwrGui.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
D:\Downloads und Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findmich.net/
O1 - Hosts: 645238813 xuto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\SkYlaX\LOKALE~1\Temp\mshkem.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [sys] regedit /s sys.reg
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37703.0985185185
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 217.237.159.1 194.25.2.129
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp
O19 - User stylesheet: C:\WINDOWS\default.css (HKLM)

Hab das Prob, das zB auch manche Pix im IE net angezeigt werden ... wenn ich refreshe, dann sind sie meist da!

02.12.2003, 10:14

seb-software

Member

Beiträge: 37

#44 Hi, raman
Danke für die tolle Hilfe - auch im Namen meiner Tochter. Hat alles
super geklappt.
Ich bekomme demnächst Mcafee. Aber das dauert noch ein paar Tage.
Habe gestern wieder folgendes entdeckt:

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nmihyv] C:\WINNT\SYSTEM32\vqec.exe
O4 - HKLM\..\Run: [ktubqr] dxcqqijz.exe
O4 - HKLM\..\RunServices: [ktubqr] dxcqqijz.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37955.1002314815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7540EBD-5947-4013-91E8-44F738A6607A}: NameServer = 62.225.253.9 194.25.2.129

Was kann ich davon fixen.
Hoffe, daß dann in ein paar Tagen dieser Krempel vorbei ist.
Danke vorab
- seb - Dieter

02.12.2003, 11:57

raman

Moderator

Beiträge: 7805

#45 Das kann raus:
O4 - HKLM\..\Run: [nmihyv] C:\WINNT\SYSTEM32\vqec.exe
O4 - HKLM\..\Run: [ktubqr] dxcqqijz.exe
O4 - HKLM\..\RunServices: [ktubqr] dxcqqijz.exe

bevor du das machst, teste die Dateien mal hier(aus neugier):
http://www.kaspersky.com/remoteviruschk.html

Alle updates gemacht?

__________
MfG Ralf
SEO-Spam Hunter

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4 5 6 Letzte Seite