wie bekomme ich Syshost.exe weg? |
||
---|---|---|
#0
| ||
23.06.2004, 17:26
...neu hier
Beiträge: 7 |
||
|
||
24.06.2004, 11:07
Ehrenmitglied
Beiträge: 29434 |
#77
@DaggeT
Das Log ist sauber..Glueckwunsch ! Surfe mit dem Firefox...ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.06.2004, 15:26
...neu hier
Beiträge: 7 |
#78
jo danke sabina für deine hilfe! hat zwar länger gedauert, aber jetzt läuft es.
__________ Neid ist die höchste Form der Anerkennung! |
|
|
||
04.07.2004, 18:05
...neu hier
Beiträge: 1 |
#79
Tach,
habe auch ein Problem mit worm francette. Hier mein Hijack Log. Danke für eure Hilfe ! Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\HPConfig.exe C:\WINNT\System32\wupdate.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\System32\service.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AutoSpid] C:\WINNT\System32\Xircom\PDemon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [navp.exe] wupdate.exe O4 - HKLM\..\Run: [WxcConfiguration] service.exe O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe O4 - HKLM\..\RunServices: [WxcConfiguration] service.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= |
|
|
||
04.07.2004, 21:51
Ehrenmitglied
Beiträge: 29434 |
#80
"wicho
C:\WINNT\System32\wupdate.exe...ist der Agabot-Wurm !!! C:\WINNT\System32\service.exe #Deaktiviere die Wiederherstellung Fixe mit dem HijackThis O4 - HKLM\..\Run: [navp.exe] wupdate.exe O4 - HKLM\..\Run: [WxcConfiguration] service.exe O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe O4 - HKLM\..\RunServices: [WxcConfiguration] service.exe neustarten #Gehe in WINDOWS>\System32\Drivers\etc\HOSTS oeffne mit dem Editor und loesche alles , ausser 127.0.0.1 Lokalhost z.B. musst du loeschen, wenn es da ist: 127.0.0.1 updates.symantec.com 127.0.0.1 nai.com #gehe in die Registry Start<Ausfuehren<regedit...loesche auf der rechten Seite der Registry den Eintrag HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ napv.exe = wupdate.exe [WxcConfiguration] HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ napv.exe = wupdate.exe [WxcConfiguration] schliesse die Registry Loesche C:\WINNT\System32\service.exe...nicht verwechseln mit der services.exe !! C:\WINNT\System32\wupdate.exe ............................................................................................................. #Lade mwav.exe ...30 Tage free und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Dann poste das Log noch mal, MfG Sabina Tipp Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren...Sicherheitsrisiko Start<systemsteuerung<Verwaltung<Dienste __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.07.2004 um 22:11 Uhr von Sabina editiert.
|
|
|
||
06.07.2004, 01:23
...neu hier
Beiträge: 3 |
#81
halLo,
bei mir meckert die norton firewall über netspy mit dem prozess svxhost.exe alle möglichen antispy & antivir programme sind schon drübergelaufen deshalb auch die bitte mein log durchzusehen. vielen dank!! Logfile of HijackThis v1.97.7 Scan saved at 23:59:18, on 05.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\HP\KBD\KBD.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\svxhost.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Gary\Desktop\HIJACKTH.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.jet2web.net R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jet2web.net/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de3.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03634bee97ecf1e0c105/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37871.4388541667 O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab |
|
|
||
06.07.2004, 10:35
Member
Beiträge: 1095 |
#82
@ganjaninja
Date deine Virenscanner up Gehe in den Safemode von XP http://www.bsi.de/av/texte/winsave.htm Fixe mal bitte dies in HiJackThis O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? Mit Virenscanner vollständig alle Platten scannen Dann neustart machen und nochmal Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.07.2004 um 10:36 Uhr von paff editiert.
|
|
|
||
06.07.2004, 18:40
...neu hier
Beiträge: 3 |
#83
ok..habe die dateien entfernt und mit antivir gescannt (hat nichts gefunden)
die firewall meldung ist soweit auch weg. hier das neue log und mein grösster dank an dich paff!!! Logfile of HijackThis v1.97.7 Scan saved at 17:42:54, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\HP\KBD\KBD.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Dokumente und Einstellungen\Gary\Desktop\HIJACKTH.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.jet2web.net R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jet2web.net/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de3.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de3.hpwis.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03634bee97ecf1e0c105/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37871.4388541667 O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab mfg ganjaninja |
|
|
||
06.07.2004, 23:19
Member
Beiträge: 1095 |
#84
@ganjaninja
Lösche bitte noch die Datei svxhost.exe Einfach mit Startmenu/Suchen die Datei suchen. Sie ist wahrscheinlich irgendwo im "C:\windows"-Verzeichnis Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.07.2004 um 23:20 Uhr von paff editiert.
|
|
|
||
07.07.2004, 14:33
...neu hier
Beiträge: 3 |
#85
Hallo.
Zonealarm zeigte, dass mehrere Anwendungen ins Internet wollten. Darunter z.B. svxhost.exe und wuagrd.exe. NortonAV und Adaware haben nichts gefunden. Ich weiss leider nicht, bei welchen es sich um Windows-Anwendungen handelt. Ich wäre für Hilfe dankbar. Logfile of HijackThis v1.98.0 Scan saved at 14:10:28, on 07.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\NortonAV\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE D:\NortonAV\navapw32.exe C:\WINDOWS\System32\wuagrd.exe C:\WINDOWS\System32\svxhost.exe D:\Internet\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\rasmngr.exe C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe C:\WINDOWS\System32\wpabaln.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\internet\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\NortonAV\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\NortonAV\NavShExt.dll O4 - HKLM\..\Run: [Microsoft DirectX] rasmngr.exe O4 - HKLM\..\Run: [NAV Agent] D:\NortonAV\navapw32.exe O4 - HKLM\..\Run: [Microsoft Update Machine] wuagrd.exe O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\Run: [Zone Labs Client] D:\Internet\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] rasmngr.exe O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft DirectX] rasmngr.exe O4 - HKCU\..\RunServices: [Microsoft Update Machine] wuagrd.exe O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office\OSA.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe |
|
|
||
07.07.2004, 14:36
Ehrenmitglied
Beiträge: 29434 |
#86
tobi-w-k
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe O4 - HKLM\..\Run: [Microsoft DirectX] rasmngr.exe O4 - HKLM\..\Run: [Microsoft Update Machine] wuagrd.exe O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] rasmngr.exe O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe O4 - HKCU\..\Run: [Microsoft DirectX] rasmngr.exe O4 - HKCU\..\RunServices: [Microsoft Update Machine] wuagrd.exe neustarten http://www.mwti.net/antivirus/free_utilities.asp Lade mwav.exe und scanne alle Dateien Dann poste das Log noch mal. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.07.2004 um 14:37 Uhr von Sabina editiert.
|
|
|
||
07.07.2004, 16:15
...neu hier
Beiträge: 3 |
#87
Vielen Dank!
Hier ist das Log nochmal: Logfile of HijackThis v1.98.0 Scan saved at 16:13:24, on 07.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\NortonAV\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE D:\NortonAV\navapw32.exe D:\Internet\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\wpabaln.exe C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\internet\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\NortonAV\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\NortonAV\NavShExt.dll O4 - HKLM\..\Run: [NAV Agent] D:\NortonAV\navapw32.exe O4 - HKLM\..\Run: [Zone Labs Client] D:\Internet\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office\OSA.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe |
|
|
||
07.07.2004, 17:37
Ehrenmitglied
Beiträge: 29434 |
#88
tobi-w-k
Uebepruefe das mit Kaspersky :\WINDOWS\System32\wpabaln.exe http://www.kaspersky.com/remoteviruschk.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.07.2004 um 17:40 Uhr von Sabina editiert.
|
|
|
||
07.07.2004, 17:53
...neu hier
Beiträge: 3 |
||
|
||
12.09.2004, 17:56
...neu hier
Beiträge: 2 |
#90
Hi, finden sich hier vielleicht noch irgendwelche Schädlinge, ich habe versucht soweit alles was ich irgendwie zurodnen konnte zu löschen.
Danke! goya Logfile of HijackThis v1.98.2 Scan saved at 17:50:39, on 12.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svxhost.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe C:\WINDOWS\System32\windns.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\SONYER~1\COMMUN~1\MOBILE~1\EPMWOR~1.EXE C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe C:\WINDOWS\regedit.exe C:\Dokumente und Einstellungen\Thorsten\Desktop\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{6EE9F0F7-25FC-4336-BD4F-92C0050F85F4}: NameServer = 195.50.140.250 145.253.2.203 |
|
|
||
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7057FC03-DD70-483E-A246-43F3B3625611}: NameServer = 217.237.149.161 194.25.2.129
__________
Neid ist die höchste Form der Anerkennung!