Home » Viren, Trojaner & Malware Forum » Probleme mit msconfd und svcinit.exe » Themenansicht

Probleme mit msconfd und svcinit.exe
#0
11.12.2003, 16:14
raman
Moderator

Beiträge: 7805
#16 Hat er sie geloescht?
Wenn nicht, koennen wir ja mal die einzelnen Cleaner durchgehen!;)

Den Trendmicro cleaner herunterladen: http://www.trendmicro.com/download/dcs.asp
und in ein Verzeichniss kopieren, dann das Patternfile dazu herunterladen: http://www.trendmicro.com/download/pattern-cpr-disclaimer.asp den Inhalt dieses Zips in das selbe Verzeichniss entpacken und den cleaner starten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.12.2003, 18:08
Simmerl
...neu hier

Themenstarter

Beiträge: 10
#17 Konnte scvhost.exe und qnbqzas.exe im MS-DOS loeschen.
Ich poste dir nochmal einen letzten Log, hoffentlich der letzte.
Wenn in dem Log alles OK ist und ich nichts mehr machen muss dann bedanke ich mich sehr fuer die Hilfe bei raman.

Logfile of HijackThis v1.97.7
Scan saved at 5:05:34 AM, on 11/12/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAM FILES\NETROPA\MULTIMEDIA KEYBOARD\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\DESKTOP\NEW FOLDER\PESTPATROL\PPCONTROL.EXE
C:\WINDOWS\DESKTOP\NEW FOLDER\PESTPATROL\PPMEMCHECK.EXE
C:\WINDOWS\DESKTOP\NEW FOLDER\PESTPATROL\COOKIEPATROL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\INTEL\INTEL PSNCU\CPUNUMBER.EXE
C:\PROGRAM FILES\CCONNECT\CCONNECT.EXE
C:\WINDOWS\DESKTOP\SIMONE STINGL\PROGRAMME\PICOPONE\PICOPHONE163.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\ANTIVIRUSPROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {23BC1CCF-4BE7-497F-B154-6ADA68425FBB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar_en_2.0.95-deleon.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Works Calendar Reminder] C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Onscreen Display] C:\Program Files\Netropa\Onscreen Display\OSD.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\WINDOWS\Desktop\New Folder\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\WINDOWS\DESKTOP\NEWFOL~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\WINDOWS\DESKTOP\NEWFOL~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinSock] SCVHOST.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [IntelProcNumUtility] "C:\Intel\Intel PSNCU\CpuNumber.exe" /nosplash
O4 - Startup: CorrectConnect.lnk = C:\Program Files\CConnect\CConnect.exe
O4 - Startup: PicoPhone.lnk = C:\WINDOWS\Desktop\Simone Stingl\Programme\PicoPone\PicoPhone163.exe
O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR_EN_2.0.95-DELEON.DLL/cmtrans.html
O9 - Extra button: RealGuide (HKLM)
O9 - Extra button: Rapidspark (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mts: C:\Program Files\MetaCreations\MetaStream\npmetastream.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .swf: C:\Program Files\Netscape\Communicator\Program\PLUGINS\NPSWF32.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://trust.web.de/trust/xenroll.cab
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/English%20to%20German.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37964.2061111111
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/abarth/us/win/QuickTimeInstaller.exe
Seitenanfang Seitenende
15.12.2003, 14:37
Simmerl
...neu hier

Themenstarter

Beiträge: 10
#18 Kann mir bitte jemand bestätigen dass ich jetzt nichts mehr fixen lassen muss
und ich den Rechner jetzt so lassen kann wie er ist. Vielen Dank
Seitenanfang Seitenende
15.12.2003, 15:49
raman
Moderator

Beiträge: 7805
#19 Bis auf ein paar Kleinigkeiten:
O4 - HKLM\..\Run: [WinSock] SCVHOST.EXE
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {23BC1CCF-4BE7-497F-B154-6ADA68425FBB} - (no file)

Dann nochmal schauen, ob du die scvhost.exe noch finden kannst. Wenn ja, dann nach neustart loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.01.2004, 22:53
morph2502
Member

Beiträge: 13
#20 Moin zusammen, bin neu auf dieser Seite und habe das selbe problem. Zusätzlich kommt wenn ich in Start\Einstelllungen\Systemsteuerung irgendeinen Ordner z.B. Software öffnen will, folgende meldung:

Der Zugriff auf das angegebene Gerät, den Pfad oder die Datei wurde verweigert.

Was muss ich fixen ?

hier die log datei

Logfile of HijackThis v1.97.7
Scan saved at 01:55:30, on 30.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSUPD.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\PERFJ.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\VERSATO.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\MEPLAYER.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\OSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-dot.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-dot.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-dot.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.777search.com"); (C:\Programme\Netscape\Users\Grabo.Grabowsky\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Adult Links - {965E6B07-6832-4738-BDBE-25F226BA2AB0} - C:\WINDOWS\SYSTEM32\QABAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SYSTEM\SysUpd.exe
O4 - HKLM\..\Run: [SQUpdatesChecker] C:\Programme\Sqwire\uc.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [perfj] C:\WINDOWS\SYSTEM\perfj.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00014\GD-DIAL.EXE -remove
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Wireless Keyboard v2.00.lnk = C:\Programme\Wireless Keyboard v2.00\Versato.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://download.online-dialer.com/MaConnect.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab

Vielen Dank schonmal im voraus.
Greetz
Georg
Dieser Beitrag wurde am 30.01.2004 um 01:55 Uhr von morph2502 editiert.
Seitenanfang Seitenende
30.01.2004, 07:20
arynsun
Member

Beiträge: 133
#21 morgen!
das muß raus:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-dot.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-dot.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-dot.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://download.online-dialer.com/MaConnect.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab

diese programme solltest du dir zulegen und regelmäßig laufen lassen,immer mit neustem update!
SpybotSD(security.kolla.de)
http://www.merijn.org/files/CWShredder.exe

hast du dein letztes windows update gemacht ;) ?
virenscanner auf dem neusten stand?

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
30.01.2004, 09:19
morph2502
Member

Beiträge: 13
#22 Folgendes file war nicht mehr vorhanden.

F1 - win.ini: run=C:\WINDOWS\svcinit.exe

Das wird aber daran liegen wenn ich jetzt über Start, ausführen und dann msconfig eingebe danach beim reiter Win.ini windows angebe. Da steht jetzt:
norun=C:\WINDOWS\svcinit.exe
vorher stand da:
run=C:\WINDOWS\svcinit.exe
Kann es sein das ich das wieder ändern muss, und wenn ja, wie geht das ?

ansonsten habe ich alle gelöscht die du mir angezeigt hast.

Trotzdem sind die probleme immer noch die selben.

hier nochmal der log:

Logfile of HijackThis v1.97.7
Scan saved at 09:25:50, on 30.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\PERFJ.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\VERSATO.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\MEPLAYER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\OSD.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.777search.com"); (C:\Programme\Netscape\Users\Grabo.Grabowsky\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Adult Links - {965E6B07-6832-4738-BDBE-25F226BA2AB0} - C:\WINDOWS\SYSTEM32\QABAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SYSTEM\SysUpd.exe
O4 - HKLM\..\Run: [SQUpdatesChecker] C:\Programme\Sqwire\uc.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [perfj] C:\WINDOWS\SYSTEM\perfj.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00014\GD-DIAL.EXE -remove
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Wireless Keyboard v2.00.lnk = C:\Programme\Wireless Keyboard v2.00\Versato.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

Greetz
Georg
Seitenanfang Seitenende
30.01.2004, 10:24
paff
Member

Beiträge: 1095
#23 Hallo
raus muß noch folgendes

O3 - Toolbar: Adult Links - {965E6B07-6832-4738-BDBE-25F226BA2AB0} - C:\WINDOWS\SYSTEM32\QABAR.DLL
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SYSTEM\SysUpd.exe
O4 - HKLM\..\Run: [SQUpdatesChecker] C:\Programme\Sqwire\uc.exe
O4 - HKLM\..\Run: [perfj] C:\WINDOWS\SYSTEM\perfj.exe
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00014\GD-DIAL.EXE -remove

Das kann, muß aber nicht raus
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
30.01.2004, 11:52
morph2502
Member

Beiträge: 13
#24 Hab ich alles gemacht.
Trotzdem kann ich vieles nicht aufrufen wie in der Systemsteuerung alle ordner. Ich kann nicht mal mehr in die Desktopeigenschaften.

So langsam bekomme ich panik.
Seitenanfang Seitenende
30.01.2004, 12:04
paff
Member

Beiträge: 1095
#25 Starte einfach mal den Rechner neu.
Dann lösche die angegeben Datei von der Festplatte.

Die Dateien
RealPlay.exe
Welcome.exe
nicht,nicht,nicht,nicht,nicht löschen

Poste dann nochmal das LogFile

Dann, aktualisiere deinen Virenscanner und lass ihn durchlaufen
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 30.01.2004 um 12:08 Uhr von paff editiert.
Seitenanfang Seitenende
30.01.2004, 12:09
morph2502
Member

Beiträge: 13
#26 Wie schon gesagt, gelöscht hatte ich die files schon.
Wenn ich jetzt über Start, ausführen und dann msconfig eingebe danach beim reiter Win.ini windows angebe. Da steht jetzt:

norun=C:\WINDOWS\svcinit.exe

vorher stand da:
run=C:\WINDOWS\svcinit.exe

muss ich das wieder ändern ? und wenn, dann wie ?



Logfile of HijackThis v1.97.7
Scan saved at 12:14:54, on 30.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\VERSATO.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\MEPLAYER.EXE
C:\PROGRAMME\WIRELESS KEYBOARD V2.00\OSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.777search.com"); (C:\Programme\Netscape\Users\Grabo.Grabowsky\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Welcome] C:\WINDOWS\Welcome.exe /R
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Wireless Keyboard v2.00.lnk = C:\Programme\Wireless Keyboard v2.00\Versato.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
Seitenanfang Seitenende
30.01.2004, 12:30
paff
Member

Beiträge: 1095
#27 norun=C:\WINDOWS\svcinit.exe

vorher stand da:
run=C:\WINDOWS\svcinit.exe

muss ich das wieder ändern ? und wenn, dann wie ?
Das ist OK

Wichtig ist, hast du die Datei svcinit.exe gelöscht??

Hast du den NeuStart gemacht??

Fixe auch den Eintrag
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.777search.com"); (C:\Programme\Netscape\Users\Grabo.Grabowsky\prefs.js)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
30.01.2004, 12:32
morph2502
Member

Beiträge: 13
#28 Neustart hatte ich gemacht.

wo finde ich die Datei svcinit.exe ?
Seitenanfang Seitenende
30.01.2004, 12:44
paff
Member

Beiträge: 1095
#29 Wenn Sie noch da ist unter
C:\WINDOWS

Hast du den "upgedateten" Virenscanner laufen lassen?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 30.01.2004 um 12:47 Uhr von paff editiert.
Seitenanfang Seitenende
30.01.2004, 12:48
morph2502
Member

Beiträge: 13
#30 unter C\windows ist sie nicht mehr.

Hatte mir die neueste version von antivir gezogen, reicht die ?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123