Virusverdacht - bitte hijack-log prüfen!

#0
05.12.2003, 00:20
...neu hier

Beiträge: 7
#1 Hallo zusammen!

Hab den Verdacht, dass mein PC mit irgendwas infiziert is. Norton hat zwar nie geschrien - aber in einem Prüfprotokoll zeigte das AV-Programm vor kurzem, dass mit dem Swen-Virus infizierte Dateien isoliert worden sind...

hab daraufhin einige Such- bzw. Entfernungstools drüberlaufen lassen, haben aber nichts entdeckt.

Mein PC benimmt sich aber trotzdem irgendwie verdächtig: Ständig fahren geöffnete Programme runter (weil "Fehler verursacht"), außerdem meldet das Outlook ständig erfolgte Email-Übertragungen, obwohl ich gar nichts verschickt habe... Außerdem wird der PC immer lahmer...

Könnte sich bitte jemand mein hijack-log ansehen, ob es da was Verdächtiges zu entdecken gibt? Wenn ja, bitte ich um eine Schritt-für-Schritt-Anleitung - bin nämlich alles andere als ein Experte!

Danke schon mal im Voraus!


Logfile of HijackThis v1.97.7
Scan saved at 00:00:51, on 05.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\Navnt\navapsvc.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\PROGRA~1\Navnt\npssvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\Programme\Norton SystemWorks\Norton Speed Disk\nopdb.exe
D:\WINNT\system32\stisvc.exe
D:\Programme\Norton Internet Security\SymProxySvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Norton Internet Security\NISSERV.EXE
D:\PROGRA~1\Navnt\alertsvc.exe
D:\WINNT\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\DownloadWare\dw.exe
D:\PROGRA~1\Adaptec\DirectCD\directcd.exe
D:\WINNT\System32\qttask.exe
D:\Programme\Navnt\POPROXY.EXE
D:\Programme\Norton Internet Security\IAMAPP.EXE
D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\ICQ\ICQ.exe
D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
D:\WINNT\system32\internat.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\Navnt\navapw32.exe
D:\Programme\Norton Internet Security\ATRACK.EXE
D:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
D:\WINNT\System32\svchost.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.aon.at/~wdenk/feuerwehr/link2.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - D:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "D:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [Adaptec DirectCD] D:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [QuickTime Task] D:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] D:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [Norton eMail Protect] D:\Programme\Navnt\POPROXY.EXE
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [CreateCD] D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = D:\Programme\Navnt\navapw32.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.allgaeu-sonne.de/plugin/mssurvid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4306/mcfscan.cab
Seitenanfang Seitenende
05.12.2003, 00:26
...neu hier

Themenstarter

Beiträge: 7
#2 hab noch was vergessen: beim Internet-Einstieg werden immer Sex-Anzeigen aktiviert - wie werde ich das los? Wie gesagt: Bräuchte auch dafür ne genaue Schritt-für-Schritt-Anleitung...
danke nochmal
Seitenanfang Seitenende
05.12.2003, 15:54
Member

Beiträge: 133
#3 Lad dir mal Spybot(security.kolla.de) und ad-aware(freeware.de/software/Programm_Ad_Aware_5336.html) runter,ist ganz einfach:downloaden,exe starten(evtl.entpacken)und über dein System laufen lassen...dann sehn wir weiter.;)

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
05.12.2003, 16:37
Moderator

Beiträge: 7805
#4 Also deine "Sex-Anzeigen" kommen wahrscheinlich von diesem eintrag:
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab

Das kannst du auch fixen lassen, aber ist nicht unbedingt noetig.
04 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - HKLM\..\Run: [QuickTime Task] D:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.12.2003, 20:03
...neu hier

Themenstarter

Beiträge: 7
#5 möchte euch vorab mal für die hilfe danken, allerdings sind nun die nächsten fragen aufgetaucht:

@aryn: ich hab den spybot drüberlaufen lassen, da wurden gleich mal 72 probleme gefunden...
bin nun unsicher, welche ich beheben lassen soll - sind ja auch Einträge in der Registrierung darunter...

@raman: hab den eintrag fixen lassen, den du als urheber für den sex-mist vermutet hast - leider kamen die lästigen einblendungen beim nächsten einstieg trotzdem wieder...

ansonsten habt aber in meinem logfile nichts entdeckt, was auf einen virus oder wurm hinweisen könnte, oder??

viele grüße.
ulli
Seitenanfang Seitenende
07.12.2003, 02:10
Moderator

Beiträge: 7805
#6 Lasse Spybot alles reinigen, was es findet. Es ist eigentlich relativ sicher. Du kannst auch bei den Spyboteinstellungen angeben, das es Backups von den gereinigten Sachen anlegt( AFAIK sind das die Standardeinstellungen).
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.12.2003, 14:33
...neu hier

Themenstarter

Beiträge: 7
#7 hallo ihr lieben experten,

seit eurem wertvollen tipp mit spybot bin ich den ganzen sex-mist gott sei dank los - danke euch dafür!

dafür erscheint seit kurzem bei jedem neustart die wunderbare meldung, dass explorer.exe einen fehler verursacht hat und geschlossen wird.

hat irgendjemand eine idee, was nun schon wieder los ist? bin für jede anregung dankbar!

poste auch noch mal das aktuelle hijackthis.log

danke,
ulli


Logfile of HijackThis v1.97.7
Scan saved at 14:27:29, on 16.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\Navnt\navapsvc.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\PROGRA~1\Navnt\npssvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\Programme\Norton SystemWorks\Norton Speed Disk\nopdb.exe
D:\WINNT\system32\stisvc.exe
D:\Programme\Norton Internet Security\SymProxySvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Norton Internet Security\NISSERV.EXE
D:\PROGRA~1\Navnt\alertsvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
D:\Programme\Winamp\Winampa.exe
D:\PROGRA~1\Adaptec\DirectCD\directcd.exe
D:\WINNT\System32\qttask.exe
D:\Programme\ICQ\ICQ.exe
D:\Programme\Navnt\POPROXY.EXE
D:\Programme\Norton Internet Security\IAMAPP.EXE
D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
D:\WINNT\system32\internat.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\Navnt\navapw32.exe
D:\Programme\Norton Internet Security\ATRACK.EXE
D:\WINNT\System32\svchost.exe
D:\WINNT\explorer.exe
D:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
D:\Programme\Adobe\Photoshop 6.0\Photoshp.exe
D:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.aon.at/~wdenk/feuerwehr/link2.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] D:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [QuickTime Task] D:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] D:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [Norton eMail Protect] D:\Programme\Navnt\POPROXY.EXE
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [CreateCD] D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = D:\Programme\Navnt\navapw32.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.allgaeu-sonne.de/plugin/mssurvid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4306/mcfscan.cab
Seitenanfang Seitenende
16.12.2003, 15:39
Moderator

Beiträge: 7805
#8 Richtig sehen, kann ich nicht, aber ich gebe sowas gerne auf Symantec!;)
Wie genau lautet denn die Fehlermeldung?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.12.2003, 15:58
...neu hier

Themenstarter

Beiträge: 7
#9 hallo raman,

also die fehlermeldung lautet: "das programm explorer.exe hat einen fehler verursacht und wird geschlossen. ein fehlerprotokoll wird erstellt" (ohne dass ich das programm zuvor geöffnet hätte...) wenn ich dann das feld "abbrechen" nicht anklicke, verschwindet die fehlermeldung überhaupt nicht mehr.

weil du meintest: "ich gebe sowas gerne auf symantec" - wie gehe ich da genau vor?

übrigens möcht ich dir bei der gelegenheit mal ein riesenlob aussprechen: ich finds echt toll, wie schnell du immer auf die verschiedensten problemanfragen reagierst!


viele grüße,
ulli
Seitenanfang Seitenende
16.12.2003, 16:23
Moderator

Beiträge: 7805
#10 Nur dabei werde ich dir wohl nicht helfen koennen. ;)
Mit "ich gebe sowas gerne auf Symantec" meine ich, das ich von der Software nicht viel halte. Sie "fummelt" mir zuviel im System herum und wirklich richtig los wird man es auch nicht so ohne weiteres. Aber es muss in diesem Fall nichts mit deinem Problem zu tun haben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.12.2003, 16:39
...neu hier

Themenstarter

Beiträge: 7
#11 hallo raman,

was würdest du mir denn statt Norton/Symantec empfehlen?

ulli
Seitenanfang Seitenende
16.12.2003, 16:52
Moderator

Beiträge: 7805
#12 Eines mal vorweg, wenn man mit seinem AV-Programm zufrieden ist und man es immer schoen auf den neusten Stand haelt, schuetzen sie normalerweise zuverlaessig vor Viren/Malware, die derzeit im Umlauf (ITW) sind. Bei Sachen wie Malware, die sich ueber P2P Nezwerke, wie Kazaa/Emule verbreitet, sollte man sich zusaetzlich noch einen Zweitscanner zulegen. Ich nutze derzeit Kaspersky antivirus und als zweitscanner die Freewareversionen von Avast und Bitdefender. Du scheinst die Norton Firewall zu verwenden und mit Firewalls kenne ich mich nicht so aus. Ich kenne zwar deren Arbeits und Wirkungsweise, aber da ich selber keine nutze, kann ich auch keine Empfehlung geben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.12.2003, 10:46
...neu hier

Themenstarter

Beiträge: 7
#13 werd mir auf jeden fall auch einen zweitscanner zulegen.

danke nochmal für deine super-tipps, raman!
Seitenanfang Seitenende
28.04.2005, 11:06
...neu hier

Beiträge: 2
#14 Hallo,

ich bin jetzt zwar nicht am verzweifeln, da ich schon mal einen HighJacker bzw. Trojaner auf der Platte gehabt habe, ich sie damals aber ohne Probleme mit SpySweeper oder Ad_Aware killen konnte!

Diesmal ist es aber anders! SpySweeper und Ad_Aware haben nichts gebracht und NortonAntiVirus meldet Trojaner an bord!

Please help:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Babylon\Babylon.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\explorer.exe
C:\Programme\TuneUp Utilities 2004\ProcessManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\ProgZ\against_highJacker\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bunkercrew.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bunkercrew.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = roadbook...independent explorer
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104075727556
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\l0r0la9m1d.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
28.04.2005, 12:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@roadman80

Spyware/Virtumonde-->Adware/Look2Me

LSPfix.exe
http://www.spychecker.com/program/lspfix.html
<"I know what I'm doing" <--anhaken

bringe die winlspak.dll von links nach rechts-->delted (loeschen)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\l0r0la9m1d.dll

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\l0r0la9m1d.dll
C:\WINDOWS\system32\guard.tmp
C:\Windows\VT00.exe
C:\WINDOWS\TEMP\bw2.com
C:\WINDOWS\system32\TargetSoftSetup.exe
C:\WINDOWS\bsx32.ini
C:\WINDOWS\bundles\wrapperouter.exe
C:\WINDOWS\System32\PopOops.dll
C:\WINDOWS\System32\PopOops2.dll
C:\WINDOWS\System32\SWLAD1.dll
C:\WINDOWS\System32\SWLAD2.dll
C:\WINDOWS\system32\InnerVBInstall.log

C:\WINDOWS\ffisearch.exe\script.dat
C:\WINDOWS\ffisearch.exe
C:\WINDOWS\isrvs\mfiltis.dll
C:\WINDOWS\isrvs\sysupd.dll
C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\isrvs\edmond.exe

PC neustarten

C:\WINDOWS\All Users\Application Data\VBouncer <--loeschen

ClaerProg..lade die neuste Version <1.5.1
http://www.clearprog.de/programme/clearprog/index_new.php
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat



C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\<--loesche alles (lasse nur die index.dat)

# Laden Sie L2mfix von hier :
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
# Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
# Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
# Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
# Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
# Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

# Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
# Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

# Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
# Dies stellt die Winlogon Standardeinstellungen wieder her.
# Posten Sie einen aktuellen HijackThis Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »