lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.08.2004, 11:31
Member
Beiträge: 1095 |
||
|
||
24.08.2004, 12:13
Member
Beiträge: 19 |
#137
ok, es ist jedenfalls die richtige msconfig.exe - eine ohne wurm / virus / adware... ;O)
das mit dem autostart stimmt allerdings! |
|
|
||
30.08.2004, 21:51
...neu hier
Beiträge: 3 |
#138
Hallo,
ich habe seit gestern schwierigkeiten mit meinem privaten netzwerk. die rechner können nicht mehr aufeinander zugreifen. im taskmanager findet sich lsass.exe. kanns da irgendwelche zusammenhänge geben? ein virenscan hat übrigens nichts gebracht (antivir). danke schonmal für hilfe Isi |
|
|
||
30.08.2004, 22:01
Member
Beiträge: 441 |
#139
@ Isi
Die lsass.exe ist ein wichtiger Systemprozess. http://www.reger24.de/prozesse/LSASS.EXE.php Die Ursache dürfte daher an deinen Netzwerk liegen: http://www.windows-netzwerke.de/ Aber zur Sicherheit kannst du mal ein Log-File von HiJackThis posten, um eventuelle Malware auszuschließen: http://hjt.klaffke.de __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 30.08.2004 um 22:01 Uhr von Cidre editiert.
|
|
|
||
31.08.2004, 09:35
...neu hier
Beiträge: 3 |
#140
@ cidre
hallo, danke schonmal für die antwort. ich hab allerdings keine ahnung was ein logfile von highjackthis ist. wenn du mir das erklären würdest, mach ichs gerne... danke Isi |
|
|
||
31.08.2004, 09:56
Ehrenmitglied
Beiträge: 29434 |
#141
@isi
du laedst das HijackThis, um eventuelle Malware auszuschließen: http://hjt.klaffke.de klickst drauf, dann scann<save und dieses Save-Log kannst du mit der Maus hier ins Forum kopieren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.08.2004, 10:19
...neu hier
Beiträge: 3 |
#142
hallo,
das unten müsste dann mein entsprechendes savelog sein. wäre dankbar wenn mir einer helfen kann, ich kann so nämlich nicht weiterarbeiten... Isi Logfile of HijackThis v1.98.2 Scan saved at 10:21:32, on 31.08.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\wanmpsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\PDesk\PDesk.exe C:\Programme\PCI Audio Applications\Mixer.exe C:\WINNT\dit.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\AOL 8.0a\aoltray.exe C:\Programme\FRITZ!\IWatch.exe C:\Dokumente und Einstellungen\isi\Desktop\Win2k\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e55/suche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup O4 - HKLM\..\Run: [dit] dit.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe |
|
|
||
31.08.2004, 10:38
Ehrenmitglied
Beiträge: 29434 |
#143
Das Log ist sauber, also an einem Virus liegt es bestimmt nicht.
Versuche mal folgendes: 1. Mache die WindowsUpdates (SP2) 2. Deaktiviere dann (kurz)den Zonealarm . 3. Ueberpruefe, ob die Dienste\Freigaben richtig konfiguriert sind. --- Datei - und Druckerfreigabe aktiviert und an TCPIP binden---- Auf PCs "Systemsteuerung" in der aufrufen und klicken auf "Ordneroptionen" klicken. In den "Ordneroptionen" klicke auf den Reiter "Ansicht", deaktiviere hier die erweiterte Einstellung "Einfache Dateifreigabe verwenden" und bestätige sie die Änderung mit "OK". http://www.dslclub.de/forum/archive/index.php/t-59165Kann_auf_PC_im_Netzwerk_nicht_zugreifen.html 4.Die Ursache dürfte daher an deinen Netzwerk liegen: http://www.windows-netzwerke.de/ http://www.wer-weiss-was.de/faq113/entry451.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.08.2004 um 10:47 Uhr von Sabina editiert.
|
|
|
||
31.08.2004, 10:42
Member
Beiträge: 1095 |
#144
@isi
Im Log steht zumindest nichts "böses". Sieht normal aus. Scheint doch ein hardware Prob zu sein. oder lioegts an der Personal Firewall O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
31.08.2004, 16:09
Member
Beiträge: 19 |
#145
Ich bins nochmal... Wollte nochmal den Rechnermeiner Schwester durchchecken, denn der macht mir sorgen... Da Sind dateien im Task-Manager, die verdammt viel Speicher und CPU-Leistung beanspruchen, sich aber nicht beenden lassen. Vielleicht könnt ihr mir weiterhelfen, ob ich die in der Registry löschen darf / kann. Vielen Dank schonmal im Vorraus und nochmals vielen Dank, dass mein eigener PC nun wieder läuft
Logfile of HijackThis v1.98.2 Scan saved at 16:03:13, on 31.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Common files\updmgr\updmgr.exe C:\Programme\BullGuard\bgnewsag.exe C:\Programme\Winamp\winampa.exe C:\WINNT\system32\internat.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Arne\uptime-project\client.exe C:\Programme\ICQ\Icq.exe C:\WINNT\explorer.exe C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Scan Server\bdss.exe c:\programme\bullguard\bdmcon.exe C:\Programme\BullGuard\vsserv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINNT\system32\KDP183e.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINNT\system32\kdpupd.dll O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [BDMCon] C:\Programme\BullGuard\\bdmcon.exe O4 - HKLM\..\Run: [BGNewsAgent] c:\programme\bullguard\bgnewsag.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINNT\system32\KDP183e.dll O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE6A58A-C38E-4D9A-BECF-8023E98337C8}: NameServer = 192.168.0.1 |
|
|
||
31.08.2004, 18:55
Ehrenmitglied
Beiträge: 29434 |
#146
fixe
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINNT\system32\KDP183e.dll O4 - HKLM\..\Run: [BDMCon] C:\Programme\BullGuard\\bdmcon.exe O4 - HKLM\..\Run: [BGNewsAgent] c:\programme\bullguard\bgnewsag.exe O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINNT\system32\kdpupd.dll O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINNT\system32\KDP183e.dll O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe neustarten ____________________________________________________________________ #deinstalliere den C:\Programme\BullGuard #Lade dafuer den Antivirus (free) http://www.free-av.de/ Nach dem Installationsscann (den du in Ruhe abwarten musst, konfiguriere unter <Optionen< : alle Dateien, Guard aktivieren< und mache einen Vollscann) # Lade AdAware (free) http://www.lavasoft.de/support/download/ #Lade eScan (entpacke in C:\bases..die du selbst erstellst) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken.(kann in der erstellten c:\base sein oder auch unter Start<Ausfuehren<%temp% ) <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ___________________________________________________________________ #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm <den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken. notiere (oder kopiere es aus dem Viewer), was als <no action taken< angefuehrt wird und poste es) #Danach kannst du noch TuneUp2004 laden (ist 30 Tage free) http://www.tuneup.de/ und den PC reinigen , optimieren (stelle aber nichts an der Internetverbindungs-Optimierung rum) #poste dann das Viren-Log von mwav.exe und das neue Log vom HijackThis mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.08.2004 um 19:09 Uhr von Sabina editiert.
|
|
|
||
01.09.2004, 09:35
Member
Beiträge: 1095 |
#147
@Sabina
Check mal deinen Tip nochmal durch O4 - HKLM\..\Run: [BDMCon] C:\Programme\BullGuard\\bdmcon.exe O4 - HKLM\..\Run: [BGNewsAgent] c:\programme\bullguard\bgnewsag.exe Ist Antiviren Programm @DonDöna Du sollest erstmal KaZaA dort deinstallieren und "KaZaA Lite" installieren Da ist dann keine Spyware drin. Wenn du alles angegebene einfach nur Fixt , funktioniert der KaZaA sowieso nicht mehr. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
01.09.2004, 12:18
Ehrenmitglied
Beiträge: 29434 |
#148
@Paff
Das weiss ich, deshalb habe ich auch ein anderes Antiviren-Tool empfohlen. Der Bullguard ist meiner Meinung nach nicht zu empfehlen. Bei dem neuen KaZaa 2,6 ist es so dass KaZaa gleich 3 oder mehr Advertising Programme wie BullGurad oder PerfectNavigation installiert. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.09.2004 um 12:18 Uhr von Sabina editiert.
|
|
|
||
01.09.2004, 15:48
Member
Beiträge: 19 |
#149
Ok, hab heute mal alles durchgejagt und folgende Logfiles erhalten:
File C:\WINNT\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. File C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\2findmp3free.exe infected by "not-a-virus:AdvWare.180solutions" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1HK32PJD\2findmp3free[1].exe infected by "not-a-virus:AdvWare.180solutions" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3378V0D8\hp2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AQ3F9P96\saveupdate[1].exe infected by "not-a-virus:AdvWare.SaveNow.m" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1WXA5IV\HP2[1].CHM infected by "TrojanDownloader.VBS.Psyme.y" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1WXA5IV\versteckt[1].htm infected by "Trojan.JS.NoClose.c" Virus. Action Taken: File Deleted. File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc6\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc6\GUninstaller.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc7\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc7\GMTProxy.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\WINNT\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. File C:\WINNT\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted. --- Und hier ist die neue HiJackThis-Logfile: Logfile of HijackThis v1.98.2 Scan saved at 15:46:40, on 01.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Arne\uptime-project\client.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINNT\system32\kdpupd.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE6A58A-C38E-4D9A-BECF-8023E98337C8}: NameServer = 192.168.0.1 |
|
|
||
01.09.2004, 15:50
Member
Beiträge: 1095 |
#150
@Sabina
Ließ dir das mal genauer durch http://www.trojaner-board.de/archive/index.php/t-4900.html bdmcon.exe ist laut http://www.windowsstartup.com/wso/search.php sogar BitDefender antivirus O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe Das Uptime Project ist z.B. auch Blödsinn, aber wer es mag soll's machen , es ist nämlich alles aber keine Spyware. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
Standardässig gibts die msconfig.exe unter Win2000 nicht. Man muß Sie seperat nachinstallieren.
Es gibt viel Trojaner/Würmer die sich einfach den Namen msconfig.exe geben.
Beispiele:
http://www.sysinfo.org/startuplist.php?filter=msconfig.exe
oder hier aufrufen und bei filename msconfig eingeben
http://www.windowsstartup.com/wso/search.php
Außerdem warum die msconfig bei jeden Windowsstart starten. Kannst du doch bei Bedarf von hand starten?
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware