Problem svchostc lässt sich nicht beenden (w98) |
||
---|---|---|
#0
| ||
07.12.2003, 00:36
...neu hier
Beiträge: 7 |
||
|
||
07.12.2003, 02:06
Moderator
Beiträge: 7805 |
#2
Obwohl ich immer schnell mit Hijackthis "drohe", versuche es ersteinmal mit einem Onlinescanner(RAV oder Trend micro):
http://www.bul-online.de/av/onlinescan.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2003, 14:33
...neu hier
Themenstarter Beiträge: 7 |
#3
Danke für den Tip, leider kann ich mit dem Rechner nicht mehr online gehen, habe gestern bereits diverse Daten überspielt und win neu installiert. Mir fehlen jetzt leider die Zugangsdaten :-((
Interceptor |
|
|
||
07.12.2003, 15:15
Moderator
Beiträge: 7805 |
#4
Wenn du Analog oder mit ISDN unterwegs bist, kannst du dir ja mal den Smartsurfer herunterladen! http://smartsurfer.web.de/
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2003, 15:39
...neu hier
Themenstarter Beiträge: 7 |
#5
sorry, ich bin parallel mit dem Laptop im Netz, der SMartsurfer ist leider für ne Diskette zu groß, hab ihn zwar auf dem Laptop aber nicht auf dem infizierten Rechner
|
|
|
||
07.12.2003, 16:31
Moderator
Beiträge: 7805 |
#6
Du kannst es ja via einem Zip Programm aufsplitten Winzip/Winrar koennen das oder auf eine CD-RW brennen.
Hijackthis passt auf eine Disk und das erezeugte Log auch! http://www.helpers.de/forum/message.php?forum_id=5&mess_id=200081&act=on __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2003, 17:53
...neu hier
Themenstarter Beiträge: 7 |
#7
OK, danke, Hier der scan:
Logfile of HijackThis v1.97.7 Scan saved at 17:49:18, on 07.12.03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2919.6304) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\SAITEK\SAITEK GAMING EXTENSIONS\SAICNFIG.EXE C:\WINDOWS\WINUPDATE.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\WINDOWS\SVCHOST.EXE C:\WINDOWS\REG32.EXE C:\WINDOWS\SYSTEM\SVCHOSTS.EXE C:\WINDOWS\SYSTEM\SVCHOSTC.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\WINOA386.MOD C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://209.61.165.65/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/ O2 - BHO: (no name) - {f760cb9e-c60f-4a89-890e-fae8b849493e} - C:\WINDOWS\MADISE.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe /autorun O4 - HKLM\..\Run: [WindowsMGM] C:\T-ONLINE\EMAIL2\1WLPB65J.TMP\ANLTMP\UNTITLED.PIF O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - User Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de O15 - Trusted Zone: *.waitsex.com O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) - |
|
|
||
07.12.2003, 18:01
Moderator
Beiträge: 7805 |
#8
Da ist eine Menge zu machen. Lies dir erstmal das durch und den Cleaner benutzen: http://www.merijn.org/cwschronicles.html
und loesche das: O15 - Trusted Zone: *.waitsex.com O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} (IRDIXAObj Class) - Danach bitte ein neues Log posten und schauen, was schon alles weg ist. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2003, 18:14
...neu hier
Themenstarter Beiträge: 7 |
#9
OK, hier das Log:
Logfile of HijackThis v1.97.7 Scan saved at 18:10:31, on 07.12.03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2919.6304) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\SAITEK\SAITEK GAMING EXTENSIONS\SAICNFIG.EXE C:\WINDOWS\WINUPDATE.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\WINDOWS\SVCHOST.EXE C:\WINDOWS\REG32.EXE C:\WINDOWS\SYSTEM\SVCHOSTS.EXE C:\WINDOWS\SYSTEM\SVCHOSTC.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\WINOA386.MOD C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://209.61.165.65/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://security-warning.com/secure2.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security-warning.com/secure2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe /autorun O4 - HKLM\..\Run: [WindowsMGM] C:\T-ONLINE\EMAIL2\1WLPB65J.TMP\ANLTMP\UNTITLED.PIF O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - User Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de |
|
|
||
07.12.2003, 18:22
Moderator
Beiträge: 7805 |
#10
Mehr hat http://www.spywareinfo.com/~merijn/junk/CWShredder.exe nicht gefunden?
Egal, bitte das Fixen: Alles was unter R0 R1 steht O4 - HKLM\..\Run: [WindowsMGM] C:\T-ONLINE\EMAIL2\1WLPB65J.TMP\ANLTMP\UNTITLED.PIF O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\WINUPDATE.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - User Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe Danach bitte mal ein aktuelles AV-Programm, oder einen Onlinescanner(RAV oder Trend micro) Die infizierten Dateien loeschen lassen. http://www.bul-online.de/av/onlinescan.html Auch solltest du dir mal ueberlegen auf den IE 6.0 SP1 umzusteigen. Das sollte dir via www.windowsupdate.com angeboten werden oder nimm eine PC-Zeitschriften CD da sollte es auch dabei sein, und dann die Updateseite besuchen. Dann ist der Download nicht so gross. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2003, 19:10
...neu hier
Themenstarter Beiträge: 7 |
#11
Vielen Dank, Problem ist weg. Werde mal updaten. Das einzige was jetzt noch ist, ich kann die Farben und die Auflösung nicht mehr ändern, bedeutet ändern schon aber der PC übernimmt die Einstellung nach dem Hochfahren nicht mehr, habe ich vielleicht was zuviel gelöscht?
Interceptor |
|
|
||
07.12.2003, 19:28
Moderator
Beiträge: 7805 |
#12
Du kannst ja mal unter http://www.ati.com/support/driver.html einen neuen Grafikkartentreiber installieren.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2003, 21:16
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
Interceptor