wie bekomme ich Syshost.exe weg? |
||
---|---|---|
#0
| ||
17.09.2004, 12:14
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.09.2004, 01:12
...neu hier
Beiträge: 5 |
#107
Hallo Sabina!
Hab mit dem Stinger sowohl im abgesicheten als auch Normalmodus nichts gefunden. Unter c:\windows\system32\drivers\etc\ war von den dir erwähnten Einträgen auch nichts zu finden. Es stand überall der (korrekte) Eintrag: 127.0.0.1 localhost bzw. #27.0.0.1. NAV hab ich deinstaliert und AntiVir aufgespielt. Beim Scan mit AntiVir wurde TR/StartPage.EG3 als Trojaner gefunden? Hab den IE durch Firefox ersetzt. Leider war die CPU-Auslastung nur für kurze Zeit normal - jetzt liegt sie schon wieder bei 100% (wenn ich online bin)?! Logfile of HijackThis v1.98.2 Scan saved at 00:42:57, on 21.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\2kadiras.exe C:\WINDOWS\System32\taskswitch.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Globe Software\StatBar\StatBar.exe C:\Program Files\Webroot\Washer\wwDisp.exe C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Katja\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [StatBar] C:\Programme\Globe Software\StatBar\StatBar.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095271259991 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab Gruß Andreas Dieser Beitrag wurde am 21.09.2004 um 09:21 Uhr von genderbender editiert.
|
|
|
||
21.09.2004, 10:07
Ehrenmitglied
Beiträge: 29434 |
#108
Hallo @genderbender
Deaktiviere einen von den zwei Antivirenscannern...das duerfte der Grund fuer die hohen Auslastung sein. Dann berichte. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.09.2004 um 10:07 Uhr von Sabina editiert.
|
|
|
||
21.09.2004, 15:07
...neu hier
Beiträge: 3 |
#109
Hallo Leute!
Ich hab zwei Probleme: 1. Als ich im Task-Manager ne ganze Reihe von svchost.exe Prozesse fand, stellte ich mir die Frage wie ich sie von meinen System runterbringe (hohe Auslastung ) 2. Antivir meldet "nur" den Trojaner TR/dldr.small.or, den es leider nicht löschen kann da er in einem Archiv sitzt. Hier mein hijackthis log: Logfile of HijackThis v1.98.2 Scan saved at 14:34:26, on 21.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe D:\PROGRA~1\MICROS~1\GAMECO~1\STRATE~1\daemon14.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe C:\Programme\Saitek\Software\SaiSmart.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.krone.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de-at\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de-at\msntb.dll O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Daemon14] d:\PROGRA~1\MICROS~1\GAMECO~1\STRATE~1\daemon14.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe" O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.240.228.233/AxisCamControl.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{2306B2D6-8CE2-49B3-B7C0-0E3164FDD53A}: NameServer = 195.96.0.4 195.70.224.45 Danke im voraus mfg redwiesel |
|
|
||
21.09.2004, 15:36
Ehrenmitglied
Beiträge: 29434 |
#110
Hallo @redwiesel
fixe mit dem HijackThisdann sofort neustarten) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de-at\msntb.dll O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab neustarten 1.Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" 3.Loesche die Dialer\Trojaner manuell in "Winrar": c:\info6_s.cab c:\explorer.cab Trojaner TR/dldr.small.or (suche den cab.-Namen bei Antivirus 4.Deinstalliere\loesche: C:\Programme\MSN Apps\Updater\01.02.0002.1001\de-at\msnappau.exe" 5.Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* 6.Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. 7.in den Abgesicherten Modus gehen http://www.bsi.de/av/texte/winsave.htm 8.und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. 9.Wieder in den Normalmodus gehen: 10..Noch mal mit eScan (mwav.exe) scannen und : Poste danach Virus Log Information(aus Log-Viewer abkopieren was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.09.2004 um 15:40 Uhr von Sabina editiert.
|
|
|
||
21.09.2004, 21:32
...neu hier
Beiträge: 5 |
#111
Hallo Sabina!
Ich hab immer noch Probleme ... - CPU 100% ausgelastet (hab NAV komplett von der Platte entfernt) - NT-Autorität/System hat mir schon 2x den Computer heruntergefahren!? Gruß Andreas |
|
|
||
21.09.2004, 21:59
Member
Beiträge: 441 |
#112
@ genderbender
So wie es aussieht, hast du dein System immer noch nicht gepatcht und solange du dies nicht machst, wirst du immer wieder mit Malware kämpfen müssen. Dir ist schon bewußt, daß du nur an den Symptomen rumdokterst und nicht die Ursache bekämpfst. Poste nochmal ein aktuelles Log-File. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
22.09.2004, 10:06
Ehrenmitglied
Beiträge: 29434 |
#113
Hallo@genderbender
alles ueber den Sasser (auch das RemovalTool http://board.protecus.de/t9676-8.htm mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.09.2004, 14:14
...neu hier
Beiträge: 3 |
#114
Hallo Sabina!
Danke für deine rasche Hilfe! Ich habe alles nach deinen Anweisungen durchgeführt. Hier hijackthis Log: Logfile of HijackThis v1.98.2 Scan saved at 14:05:31, on 22.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Martin\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.krone.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de-at\msntb.dll (file missing) O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.240.228.233/AxisCamControl.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{2306B2D6-8CE2-49B3-B7C0-0E3164FDD53A}: NameServer = 195.96.0.4 195.70.224.45 Beim eScan (mwav.exe) kann nichts raus. mfg redwiesel |
|
|
||
22.09.2004, 14:35
Ehrenmitglied
Beiträge: 29434 |
#115
Hallo @redwiesel
Fixe: O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de-at\msntb.dll (file missing) Ansonsten ist alles sauber Kannst die Wiederherstellung wieder aktivieren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.09.2004 um 14:36 Uhr von Sabina editiert.
|
|
|
||
22.09.2004, 14:55
...neu hier
Beiträge: 3 |
||
|
||
22.09.2004, 15:17
Member
Beiträge: 441 |
#117
@ redwiesel
Zitat Platform: Windows XP (WinNT 5.01.2600)Du solltest trotzdem dein System patchen, denn sonst fängt das Entwurmen deines Systems bald wieder von vorne an. http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx und konfiguriere deine NT-Dienste sicher http://www.ntsvcfg.de/ Diese Einträge noch fixen: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
22.09.2004, 17:50
...neu hier
Beiträge: 1 |
#118
Hi!
Hatte auch Probleme mit Francette und versucht ihn wieder los zu bekommen...kann mir bitte jemand sagen, ob das geklappt hat und ob unter umständen sonst noch was weg müsste (CPU ist immer ziemlich hoch)?! Logfile of HijackThis v1.97.7 Scan saved at 17:51:18, on 22.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\0190 warner\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\DitExp.exe C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.CompuServe.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:4002/proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\me\LOKALE~1\Temp\mwavscan.com" /s O4 - Global Startup: CAPIControl.lnk = ? O8 - Extra context menu item: CC Web-Interface - http://localhost:4002/cookie.cooker/loadifscript O8 - Extra context menu item: Formulare ausfüllen (echte Daten) - http://localhost:4002/cookie.cooker/fillscriptp O8 - Extra context menu item: Formulare ausfüllen (zufällig) - http://localhost:4002/cookie.cooker/fillscriptr O8 - Extra context menu item: Werbung blockieren - http://localhost:4002/cookie.cooker/scriptwerbung O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C1C833B-44DA-4A62-9393-1C6DD830CD33}: NameServer = 62.104.191.241 62.104.196.134 Ist es eigentlich nötig, nach francette die Passwörter zu ändern? Grüsse und vielen Dank im voraus.... |
|
|
||
23.09.2004, 10:31
Ehrenmitglied
Beiträge: 29434 |
#119
Hallo @MyselfAndI
Fixe, damit es aus dem Autostart kommt: O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\me\LOKALE~1\Temp\mwavscan.com" /s O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file) #Deaktiviere die Wiederherstellung, dann aktiviere sie wieder. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Suche und loesche: <nt_ddr.exe (DebPloit.Exploit) <Syshost.exe < .dll (Lol.dll ) #ueberpruefe deine Critical-Windowsupdates (z.B http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx #Falls du keinen Router hast, aktiviere die Firewall von XP oder lade eine Desktop-Firewall . FIREWALLS, NETZWERK-SICHERHEIT UND DIE BÖSEN HACKER http://www.nickles.de/c/s/26-0015-204-1.htm XP-Firewall aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm Personal Firewalls http://www.joergkrusesweb.de/internet/sicherheit/index-2.html #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org #ueberpruefe die Ports und c:\ mit "ANTS 2.1" http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547 _______________________________________________________________________- W32/Francette-K ermöglicht einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer. Der Wurm legt die dll-Datei Lol.dll ab, mit der Tastenfolgen gespeichert werden. Diese Tastenfolgen können an die E-Mail-Adresse des Angreifers gesendet werden. Lol.dll wird von Sophos Anti-Virus als W32/Francette-I erkannt. W32/Francette-K kann sich mit einem IRC-Server verbinden und so Backdoor-Zugriff mittels IRC-Kanälen ermöglichen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.09.2004 um 10:37 Uhr von Sabina editiert.
|
|
|
||
14.04.2005, 14:43
...neu hier
Beiträge: 9 |
#120
Hallo
Ich wollt mich mal wieder versichern,ob mein pc befallen ist oda nicht thx schonmal für eure mühe ---------------------------------------------------------------------- Logfile of HijackThis v1.97.7 Scan saved at 14:42:38, on 14.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ZoneLabs\isafe.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE c:\programme\windows media player\wmplayer.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\SmartSurfer2.3\SmartSurfer.exe C:\exen\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://us.mcafee.com/root/campaign.asp?cid=8953 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Broken Internet access because of LSP provider 'imslsp.dll' missing O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DD947CED-D504-4DA4-B29F-821921B73098}: NameServer = 213.20.190.189 193.189.244.205 |
|
|
||
Fixen bedeutet, dass du mit dem HijackThis scannst, dann anhakst, was ich geschrieben habe (nur das !) und dann auf <fix< drueckst und neustartest.
2.Wie man ein Programm deinstalliert, muesstest du wissen, hast es ja auch geladen.....
Was verstehst du noch nicht ??
MFG
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit