Explorer fliegt auf, Dialer wollen ins Net... |
||
---|---|---|
#0
| ||
20.04.2004, 22:46
Member
Beiträge: 11 |
||
|
||
20.04.2004, 23:23
Member
Beiträge: 1095 |
#2
Hi Kamiro
Fixe bitte dies hier O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe Check die Datei nochmal durch bei einem Onlinecheck oder schick Sie mir an mike_hangover@gozomail.com(Meine FakeEMail) O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE dann neustart und nochmal log posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
21.04.2004, 16:16
Ehrenmitglied
Beiträge: 29434 |
#3
Nur noch mal als Info:
alchem.exe This is Ad-ware component. Suggest to remove from startup. Read more: http://webhelper.netfirms.com/index.html O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe ---------------------------------------------------------------------- UpdReg.exe (Creative Labs) Registry updater task installed by the LiveWare software that comes with SoundBlaster Live or Audigy cards. When LiveWare is installed, and configured, some settings are saved in the Current User profile in the Windows Registry and UPDREG is installed as a startup item to ensure that if a new profile is created on the PC in question, then the settings saved under the “Current User” profile in the Registry are replicated to the new user profile just created. http://www.answersthatwork.com/Tasklist_pages/tasklist_u.htm (scrollen) MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.04.2004 um 16:30 Uhr von Sabina editiert.
|
|
|
||
21.04.2004, 16:18
Member
Beiträge: 1122 |
#4
@Sabina
Ich will dich jetzt nicht in deinem Eifer stoppen. Das ist auch gut so, aber du musst nicht das posten was andre schon gepostet haben. MFG DAFRA |
|
|
||
21.04.2004, 16:33
Ehrenmitglied
Beiträge: 29434 |
#5
Der Eifer braucht Zeit.....war noch nicht fertig...da auf der Suche nach UpdReg.exe
MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.04.2004, 20:19
Member
Beiträge: 1095 |
#6
Ok
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE ist OK und sauber Also Fixe bitte dies hier auf jeden Fall O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe Dann neustart und schauen ob alles OK ist Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 21.04.2004 um 20:20 Uhr von paff editiert.
|
|
|
||
22.04.2004, 22:22
Member
Themenstarter Beiträge: 11 |
#7
Hi Paff,
danke für diese Message und deine Hilfe. Habs mal gemacht, Problem ist immer noch da, nur eines ist komisch: Die O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe ist nicht mehr drin, dafür an gleicher Stelle: O4 - HKLM\..\Run: [SIMTFM] C:\WINDOWS\System32\SIMTFM.exe Geht da irgendwas ab?? Send dir die mal per Mail. Gruss und Danke, Kamiro |
|
|
||
23.04.2004, 13:02
Member
Beiträge: 1095 |
#8
@kamiro
kann mir deine Datei erst heute Abend anschauen. Test Sie mal bei einem Onlinescan http://www.kaspersky.com/de/remoteviruschk.html + Verschicke NIE,NIE,NIE *.exe sondern immer zippen. Wichtig: Fixen im abgesicherten Modus von Windows Der Internet Explorer darf nicht geöffnet sein. Fixe alles angegebene und das natürlich auch O4 - HKLM\..\Run: [SIMTFM] C:\WINDOWS\System32\SIMTFM.exe Gruß paff -------------------------------------------------------------------- Nachtrag 19:18 Die Datei SIMTFM.exe war ein Trojaner(Dropper) Meldung Antivir Trojanische Pferd TR/VB.CA! Meldung Kaspersky TrojanDownloader.Win32.VB.ca Meine Meinung dazu: Die (Trojaner-Hacker) haben sich nicht mal die Mühe gemacht, der Datei ein Icon zu geben. Das ist das Standard Icon für exen in Visual Basic. Das ist so billig. Ich glaubs net __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.04.2004 um 19:54 Uhr von paff editiert.
|
|
|
||
da bin ich wieder, mit einem neuen Problem. Ad-aware und Spy Bot sind gelaufen, brachte nix.
Was kann ich tun??
Explorer von www.belgiandip.com und Dialer mit dem lächerlichen Namen: VIRUS.FREE von www.phoncom.com lädt sich automatisch...
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Network ICE\BlackICE\blackd.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Network ICE\BlackICE\blackice.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\SIDLEM.exe
C:\WINDOWS\Explorer.EXE
E:\Bernds U-Bahn-Station\Downloads_NEU\Systen Viren und co\CWShredder.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Bernds U-Bahn-Station\Downloads_NEU\Systen Viren und co\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_3.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programme\Network ICE\BlackICE\blackice.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O9 - Extra button: XM2002® (HKLM)
O9 - Extra 'Tools' menuitem: &XM2002® (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab