Virusverdacht - bitte hijack-log prüfen! |
||
---|---|---|
#0
| ||
05.12.2003, 00:20
...neu hier
Beiträge: 7 |
||
|
||
05.12.2003, 00:26
...neu hier
Themenstarter Beiträge: 7 |
#2
hab noch was vergessen: beim Internet-Einstieg werden immer Sex-Anzeigen aktiviert - wie werde ich das los? Wie gesagt: Bräuchte auch dafür ne genaue Schritt-für-Schritt-Anleitung...
danke nochmal |
|
|
||
05.12.2003, 15:54
Member
Beiträge: 133 |
#3
Lad dir mal Spybot(security.kolla.de) und ad-aware(freeware.de/software/Programm_Ad_Aware_5336.html) runter,ist ganz einfach:downloaden,exe starten(evtl.entpacken)und über dein System laufen lassen...dann sehn wir weiter.
MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
05.12.2003, 16:37
Moderator
Beiträge: 7805 |
#4
Also deine "Sex-Anzeigen" kommen wahrscheinlich von diesem eintrag:
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab Das kannst du auch fixen lassen, aber ist nicht unbedingt noetig. 04 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - HKLM\..\Run: [QuickTime Task] D:\WINNT\System32\qttask.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.12.2003, 20:03
...neu hier
Themenstarter Beiträge: 7 |
#5
möchte euch vorab mal für die hilfe danken, allerdings sind nun die nächsten fragen aufgetaucht:
@aryn: ich hab den spybot drüberlaufen lassen, da wurden gleich mal 72 probleme gefunden... bin nun unsicher, welche ich beheben lassen soll - sind ja auch Einträge in der Registrierung darunter... @raman: hab den eintrag fixen lassen, den du als urheber für den sex-mist vermutet hast - leider kamen die lästigen einblendungen beim nächsten einstieg trotzdem wieder... ansonsten habt aber in meinem logfile nichts entdeckt, was auf einen virus oder wurm hinweisen könnte, oder?? viele grüße. ulli |
|
|
||
07.12.2003, 02:10
Moderator
Beiträge: 7805 |
#6
Lasse Spybot alles reinigen, was es findet. Es ist eigentlich relativ sicher. Du kannst auch bei den Spyboteinstellungen angeben, das es Backups von den gereinigten Sachen anlegt( AFAIK sind das die Standardeinstellungen).
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.12.2003, 14:33
...neu hier
Themenstarter Beiträge: 7 |
#7
hallo ihr lieben experten,
seit eurem wertvollen tipp mit spybot bin ich den ganzen sex-mist gott sei dank los - danke euch dafür! dafür erscheint seit kurzem bei jedem neustart die wunderbare meldung, dass explorer.exe einen fehler verursacht hat und geschlossen wird. hat irgendjemand eine idee, was nun schon wieder los ist? bin für jede anregung dankbar! poste auch noch mal das aktuelle hijackthis.log danke, ulli Logfile of HijackThis v1.97.7 Scan saved at 14:27:29, on 16.12.2003 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\PROGRA~1\Navnt\navapsvc.exe D:\Programme\Norton Internet Security\NISUM.EXE D:\PROGRA~1\Navnt\npssvc.exe D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\Programme\Norton SystemWorks\Norton Speed Disk\nopdb.exe D:\WINNT\system32\stisvc.exe D:\Programme\Norton Internet Security\SymProxySvc.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\System32\mspmspsv.exe D:\WINNT\system32\svchost.exe D:\Programme\Norton Internet Security\NISSERV.EXE D:\PROGRA~1\Navnt\alertsvc.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe D:\Programme\Winamp\Winampa.exe D:\PROGRA~1\Adaptec\DirectCD\directcd.exe D:\WINNT\System32\qttask.exe D:\Programme\ICQ\ICQ.exe D:\Programme\Navnt\POPROXY.EXE D:\Programme\Norton Internet Security\IAMAPP.EXE D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe D:\WINNT\system32\internat.exe D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe D:\Programme\Navnt\navapw32.exe D:\Programme\Norton Internet Security\ATRACK.EXE D:\WINNT\System32\svchost.exe D:\WINNT\explorer.exe D:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE D:\Programme\Adobe\Photoshop 6.0\Photoshp.exe D:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe D:\Programme\Internet Explorer\iexplore.exe D:\PROGRA~1\WINZIP\winzip32.exe D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.aon.at/~wdenk/feuerwehr/link2.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [Adaptec DirectCD] D:\PROGRA~1\Adaptec\DirectCD\directcd.exe O4 - HKLM\..\Run: [QuickTime Task] D:\WINNT\System32\qttask.exe O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe O4 - HKLM\..\Run: [NAV DefAlert] D:\PROGRA~1\Navnt\defalert.exe O4 - HKLM\..\Run: [Norton eMail Protect] D:\Programme\Navnt\POPROXY.EXE O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [CreateCD] D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = D:\Programme\Navnt\navapw32.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.allgaeu-sonne.de/plugin/mssurvid.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4306/mcfscan.cab |
|
|
||
16.12.2003, 15:39
Moderator
Beiträge: 7805 |
#8
Richtig sehen, kann ich nicht, aber ich gebe sowas gerne auf Symantec!
Wie genau lautet denn die Fehlermeldung? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.12.2003, 15:58
...neu hier
Themenstarter Beiträge: 7 |
#9
hallo raman,
also die fehlermeldung lautet: "das programm explorer.exe hat einen fehler verursacht und wird geschlossen. ein fehlerprotokoll wird erstellt" (ohne dass ich das programm zuvor geöffnet hätte...) wenn ich dann das feld "abbrechen" nicht anklicke, verschwindet die fehlermeldung überhaupt nicht mehr. weil du meintest: "ich gebe sowas gerne auf symantec" - wie gehe ich da genau vor? übrigens möcht ich dir bei der gelegenheit mal ein riesenlob aussprechen: ich finds echt toll, wie schnell du immer auf die verschiedensten problemanfragen reagierst! viele grüße, ulli |
|
|
||
16.12.2003, 16:23
Moderator
Beiträge: 7805 |
#10
Nur dabei werde ich dir wohl nicht helfen koennen.
Mit "ich gebe sowas gerne auf Symantec" meine ich, das ich von der Software nicht viel halte. Sie "fummelt" mir zuviel im System herum und wirklich richtig los wird man es auch nicht so ohne weiteres. Aber es muss in diesem Fall nichts mit deinem Problem zu tun haben. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.12.2003, 16:39
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
16.12.2003, 16:52
Moderator
Beiträge: 7805 |
#12
Eines mal vorweg, wenn man mit seinem AV-Programm zufrieden ist und man es immer schoen auf den neusten Stand haelt, schuetzen sie normalerweise zuverlaessig vor Viren/Malware, die derzeit im Umlauf (ITW) sind. Bei Sachen wie Malware, die sich ueber P2P Nezwerke, wie Kazaa/Emule verbreitet, sollte man sich zusaetzlich noch einen Zweitscanner zulegen. Ich nutze derzeit Kaspersky antivirus und als zweitscanner die Freewareversionen von Avast und Bitdefender. Du scheinst die Norton Firewall zu verwenden und mit Firewalls kenne ich mich nicht so aus. Ich kenne zwar deren Arbeits und Wirkungsweise, aber da ich selber keine nutze, kann ich auch keine Empfehlung geben.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.12.2003, 10:46
...neu hier
Themenstarter Beiträge: 7 |
#13
werd mir auf jeden fall auch einen zweitscanner zulegen.
danke nochmal für deine super-tipps, raman! |
|
|
||
28.04.2005, 11:06
...neu hier
Beiträge: 2 |
#14
Hallo,
ich bin jetzt zwar nicht am verzweifeln, da ich schon mal einen HighJacker bzw. Trojaner auf der Platte gehabt habe, ich sie damals aber ohne Probleme mit SpySweeper oder Ad_Aware killen konnte! Diesmal ist es aber anders! SpySweeper und Ad_Aware haben nichts gebracht und NortonAntiVirus meldet Trojaner an bord! Please help: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\Babylon\Babylon.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Trillian\trillian.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\WINDOWS\explorer.exe C:\Programme\TuneUp Utilities 2004\ProcessManager.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\ProgZ\against_highJacker\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bunkercrew.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bunkercrew.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = roadbook...independent explorer O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104075727556 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\l0r0la9m1d.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
28.04.2005, 12:12
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@roadman80
Spyware/Virtumonde-->Adware/Look2Me LSPfix.exe http://www.spychecker.com/program/lspfix.html <"I know what I'm doing" <--anhaken bringe die winlspak.dll von links nach rechts-->delted (loeschen) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\l0r0la9m1d.dll PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\l0r0la9m1d.dll C:\WINDOWS\system32\guard.tmp C:\Windows\VT00.exe C:\WINDOWS\TEMP\bw2.com C:\WINDOWS\system32\TargetSoftSetup.exe C:\WINDOWS\bsx32.ini C:\WINDOWS\bundles\wrapperouter.exe C:\WINDOWS\System32\PopOops.dll C:\WINDOWS\System32\PopOops2.dll C:\WINDOWS\System32\SWLAD1.dll C:\WINDOWS\System32\SWLAD2.dll C:\WINDOWS\system32\InnerVBInstall.log C:\WINDOWS\ffisearch.exe\script.dat C:\WINDOWS\ffisearch.exe C:\WINDOWS\isrvs\mfiltis.dll C:\WINDOWS\isrvs\sysupd.dll C:\WINDOWS\isrvs\ffisearch.exe C:\WINDOWS\isrvs\desktop.exe C:\WINDOWS\isrvs\edmond.exe PC neustarten C:\WINDOWS\All Users\Application Data\VBouncer <--loeschen ClaerProg..lade die neuste Version <1.5.1 http://www.clearprog.de/programme/clearprog/index_new.php http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - index.dat C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\<--loesche alles (lasse nur die index.dat) # Laden Sie L2mfix von hier : http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe # Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. # Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. # Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix # Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. # Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren. WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! # Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter]. # Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. # Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. # L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! # Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. # Dies stellt die Winlogon Standardeinstellungen wieder her. # Posten Sie einen aktuellen HijackThis Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Hab den Verdacht, dass mein PC mit irgendwas infiziert is. Norton hat zwar nie geschrien - aber in einem Prüfprotokoll zeigte das AV-Programm vor kurzem, dass mit dem Swen-Virus infizierte Dateien isoliert worden sind...
hab daraufhin einige Such- bzw. Entfernungstools drüberlaufen lassen, haben aber nichts entdeckt.
Mein PC benimmt sich aber trotzdem irgendwie verdächtig: Ständig fahren geöffnete Programme runter (weil "Fehler verursacht"), außerdem meldet das Outlook ständig erfolgte Email-Übertragungen, obwohl ich gar nichts verschickt habe... Außerdem wird der PC immer lahmer...
Könnte sich bitte jemand mein hijack-log ansehen, ob es da was Verdächtiges zu entdecken gibt? Wenn ja, bitte ich um eine Schritt-für-Schritt-Anleitung - bin nämlich alles andere als ein Experte!
Danke schon mal im Voraus!
Logfile of HijackThis v1.97.7
Scan saved at 00:00:51, on 05.12.2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\Navnt\navapsvc.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\PROGRA~1\Navnt\npssvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\Programme\Norton SystemWorks\Norton Speed Disk\nopdb.exe
D:\WINNT\system32\stisvc.exe
D:\Programme\Norton Internet Security\SymProxySvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Norton Internet Security\NISSERV.EXE
D:\PROGRA~1\Navnt\alertsvc.exe
D:\WINNT\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\DownloadWare\dw.exe
D:\PROGRA~1\Adaptec\DirectCD\directcd.exe
D:\WINNT\System32\qttask.exe
D:\Programme\Navnt\POPROXY.EXE
D:\Programme\Norton Internet Security\IAMAPP.EXE
D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\ICQ\ICQ.exe
D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
D:\WINNT\system32\internat.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\Navnt\navapw32.exe
D:\Programme\Norton Internet Security\ATRACK.EXE
D:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
D:\WINNT\System32\svchost.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.aon.at/~wdenk/feuerwehr/link2.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - D:\Programme\MediaLoads Enhanced\ME2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] D:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "D:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [Adaptec DirectCD] D:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [QuickTime Task] D:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] D:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [Norton eMail Protect] D:\Programme\Navnt\POPROXY.EXE
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [CreateCD] D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = D:\Programme\Navnt\navapw32.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.allgaeu-sonne.de/plugin/mssurvid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4306/mcfscan.cab