znzz.com./rasautou.exe - automatisches Einwählen nach Systemstart

#1 die rasautou.exe ist ein remote access dialer system, das von windows benutzt wird über die internetverbindung beispielweise desktop-einstellungen eines anderen rechners abzurufen.

nach dem hochfahren meines rechners versucht sich diese anwendung automatisch einzuwählen und die adresse znzz.com. zu kontaktieren.

wie kann ich dies unterbinden?
sämtliche spyware/trojaner-programme sowie anti-vir können nichts finden.

#2 Schau mal hier:
http://www.reger24.de/prozesse/rasautou.exe.php
__________
MfG Ralf
SEO-Spam Hunter

#3 Falls du nicht weisst was zu tun ist , poste mal dein HijackThis-Log.
Es kann der Sobig-Wurm sein , der die rasautou.exe benutzt .
Mach einen Online-Virenscann und poste dein Log.
Da sehen wir, was sich so alles in deinem Comp. "tummelt"

http://housecall.trendmicro.com/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Ok hier mal der Hijack-Log:

Logfile of HijackThis v1.97.7
Scan saved at 01:42:58, on 26.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AVGUARD.EXE
D:\Programme\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\Oleco\_oleco.exe
C:\WINDOWS\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\Setup-Dateien\mal-ware cleaner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mh
O17 - HKLM\Software\..\Telephony: DomainName = mh
O17 - HKLM\System\CCS\Services\Tcpip\..\{A39271FF-7345-449A-894D-6EFCBC8D0F33}: NameServer = 213.20.54.13 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mh
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mh

dankeschön im voraus!

#5 Hi Stephanius

Fixe bitte mal das
O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe

Dann neuart und schauen ob alles immernoch weg ist.

Wenn nicht dann das selbe nochmal im abgesicherten Modus von Windows machen

Dann das hier durchführen
http://board.protecus.de/t9373.htm

und www.windowsupdate.com
deine windows ist uralt
da fängst du dir sofort wieder was ein.

Gruß paff

P.S.
@all
Weiß jemand was diese O17 bedeuten
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mh
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Danke Paff für die Tipps. Problem beim Update ist, die über 50 PAtches mit annähernd 50mb down zu loaden wobei ich nur über ein 52k modem verfüge.

Ausserdem möchte ich doch so wie ihr ein Hijack/Malware-Profi werden. Was wäre die Welt dann ohne Probleme

Lieben Gruß

#7

Zitat

Stephanius postete
Danke Paff für die Tipps. Problem beim Update ist, die über 50 PAtches mit annähernd 50mb down zu loaden wobei ich nur über ein 52k modem verfüge.

Ausserdem möchte ich doch so wie ihr ein Hijack/Malware-Profi werden. Was wäre die Welt dann ohne Probleme

Lieben Gruß

Da sehe ich dann gute Chancen für dich

Gruß paff

Solltest dir zumindest mal aus irgendeiner PC_Zeitschrift das ServicePAck 1 besorgen. DAnn sind die Downloads nur halb soviel. DAnn auch nur ausgewählte Exploits nehmen.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 hallo! also, ich habe auch das problem mit der rasautou.exe. sobald ich mein system hochfahre (ohne internetverb.) , kommt staendig eine verbindungsaufforderung. in dem fall ist es nicht "znzz.com" sondern z.B.:
"deejay2.badazz.org", "kepler.arfraid.org", "knix.arfraid.org", welche ich noch nie gesehn oder besucht hab, was mich stutzig gemacht hat.
zuvor hat NortonAntivir2003 drei mal den W32.Sasser.Worm entdeckt und "entfernt", woraufhin ich einen kompletten System-Check mit zuvorigem Live-Update durchgefuehrt hab. mit der trail-version von "McAfee Virus Scan" ist dann folgendes rausgekommen:
5 Infektionen (davon ein weiteres mal Sasser)
6 "potentially unwanted programs", von denen eins ("pmasv.exe" mit "ServU.Daemon") nach "erfolgreichem" entfernen immer wieder kommt.
"Ad-aware", "Spybot-Search&Destroy" und "CWShredder" hab ich auch durchlaufen lassen was erschreckend viel gefunden und behoben hat.
da das alles nichts geholfen hat mit der rasautou.exe und pmasv.exe, hab ich nun eine "hijackthis.log" erstellt:

Logfile of HijackThis v1.97.7
Scan saved at 18:10:47, on 14.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\MSI\Live Update 2\LMonitor.exe
C:\WINDOWS\System32\sndcfg16.exe
C:\WINDOWS\System32\desktop.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
D:\Install\Steam\SteamApps\julianschilde@web.de\counter-strike\cstrike\ph4mp3.exe
C:\WINDOWS\system32\pmasv.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Internet Explorer\iexplore.exe
G:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 2\LMonitor.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Startup: Verknüpfung mit ph4mp3.lnk = D:\Install\Steam\SteamApps\julianschilde@web.de\counter-strike\cstrike\ph4mp3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38119.260150463
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{807AAED0-755A-4F6E-83F5-4FF4B742C4B5}: NameServer = 217.237.151.97 194.25.2.129

Bitte helft mir bei der auswertung, ich weiss nicht so recht was ich mit der log anfangen kann und wie ich irgendwas darin genanntes fixe. :/
Danke im voraus,
Julian

#9 @digifalo
Fix mal: (makieren und auf den Button Fix Check klicken)
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

Kannst du mir die Datei auch mal bitte schicken
An

Spam-Email@gmx.net

@All
Weis einer wat dat is???
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
MFG
DAFRA

#10 Deaktiviere die Wiederherstellung (nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


Fixen:

C:\WINDOWS\system32\pmasv.exe
C:\WINDOWS\System32\sndcfg16.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - Startup: Verknüpfung mit ph4mp3.lnk =
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe~
(3mal vorhanden
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

dann neustarten und Virenscann- Online machen
http://www.kaspersky.com/remoteviruschk.html
http://housecall.trendmicro.com/
http://www.ravantivirus.com/scan/




http://sarc.com/avcenter/venc/data/pf/adware.binet.html
Belt-Trojaner entfernen:



Lade den mwav.exe, scanne alle Dateien und loesche manuell, was er dir noch anzeigt.
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

Falls die Viren nicht verschwinden, poste dein Log noch mal, dann muss man manuell in die Registry.

O17 - HKLM\System\CCS\Services\Tcpip\..\{807AAED0-755A-4F6E-83F5-4FF4B742C4B5}: NameServer = 217.237.151.97 194.25.2.129
ist das dein Server- eintrag ?????

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hi erst ma an alle!
also ich hab jetzt ma alles ausprobiert was auf der seite stande gegen rasautou.exe, also 2 scanner und den cw shredder.
ging dann auch kurze zeit nur jetzt hab ich des problem wieder!
ich schreib euch jetzt ma die hijacklog rein, vielleicht könnt ihr ja was damit anfangen - ich ehrlich gsagt nicht

Logfile of HijackThis v1.97.7
Scan saved at 12:23:32, on 20.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\programme\powerstrip\pstrip.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.061\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp5_3_18_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFA2} - C:\WINDOWS\TEMP\mdkb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\RunServices: [24FE3D3A] C:\WINDOWS\System32\cgekvdidnivcuj.exe
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O12 - Plugin for .MOV: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab

P.S. ich hab die activeX steuerelemente deaktiviert, jetzt kommt bei voll vielen seiten ne warnung, dass fehler auftreten, wenn des nich aktiviert is. is irgendwie nervig. kann mir einer sagen was ich da wieder anmachen muss.
ach ja die ganze windowsdienste hab ich in msconfig.exe ausgemacht. is des schlimm? wenn ja was muss ich wieder anmachen? hab mir gedacht des bringt was da ja rasautou.exe n windows dienst ist.
danke im voraus - hoffe auf baldige lösung des problems

kolber

#12 Fix mal:
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFA2} - C:\WINDOWS\TEMP\mdkb.dll (file missing)
O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\RunServices: [24FE3D3A] C:\WINDOWS\System32\cgekvdidnivcuj.exe
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
MFG
DAFRA

#13 @Kolber

Du musst die systemwiederherstellung abschalte, neu starten und sie dann wieder aktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924
--

Fixe bitte

O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFA2} - C:\WINDOWS\TEMP\mdkb.dll (file missing)

O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\RunServices: [24FE3D3A] C:\WINDOWS\System32\cgekvdidnivcuj.exe

O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)


O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)

O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)

Lass nur eine.....

O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab


neustarten

#Lade den Antivir.
http://www.free-av.com/
Stelle<alle Dateien scannen< ein und mache einen Vollscann

#lade von dieser Site den Search&Destroy und den AdAware-free (vor dem Scannen updaten) und den CWSHredder und den SPHfix.exe ....scannen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
#Lade den Webwasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
#Lade die Firewall
http://www.tucows.com/preview/213160.html
#Lade den Stinger und scanne
http://www.pc-mind.de/displayarticle65.html

#Lade den e-scann (mwav.exe), scanne alle Dateien
http://www.mwti.net/antivirus/free_utilities.asp
(Poste dann das Log)

#Lade den Firefox als Zweitbrowser
http://www.firebird-browser.de/

Poste dasHijackThis Log dann noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14 hi all! danke fuer die hilfe! bin alles losgeworden ausser der "pmasv.exe"!
die hat kein einziges virenprogramm beheben können und nur McAfee
hats ueberhaupt gefunden, hab sie den McAfee jungs hochgeladen, die spieln wahrscheinlich grad mit der. manuell entfernen ging auch nicht, musste
formatiern, leider. aber zum glück ohne datenverlust. :/
hab schon wieder des nächste prob.
diesmal hab ich "Win XP Prof SP1" drauf, nicht wie davor "Win XP Corp Prof" und "McAfee VirusScan" und "Personal Firewall".
so weit alles roger, aber wie ihr meiner log entnehmen könnt bin ich
CS-spieler.
mein problem is, dass wenn ich spiel, der rechner in unregelmässigen
abständen hängen bleibt und willkürlich abstürzt (bluescreen) oder sich wieder fängt. so lässt sichs natürlich nicht spielen. ich hatte diesen fehler
davor auch und hab ihn dem verseuchten system zugeschrieben, aber das isses wohl nich. hab spieltechnisch oder treibermaessig keine veraenderungen
gemacht.
hoffentlich könnt ihr mir helfen!!
danke so weit und keep the groove!
julian

#15 Hi Experten!

Ich hab auch das selbe Problem... wenn ich offline bin will er sich immer wieder auf "deejay2.badazz.org" einloggen...

hier ist mein hijackthis.log:

Logfile of HijackThis v1.97.7
Scan saved at 15:24:47, on 22.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sndcfg16.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Team\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.aon.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aon.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von A-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [02E380A4] C:\WINDOWS\System32\uuwnocoriqqmpi.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [BF6DD575] C:\WINDOWS\System32\uuwnocoriqqmpi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.aon.at/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DFA503A-A46C-4547-B145-DC492F4EA043}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{84188972-96EC-41CB-B38C-466FFA6DE6E4}: NameServer = 195.3.96.67,195.3.96.68

hoffentlich könnt ihr mir hlefen...

gruß jörg