lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.09.2004, 16:01
Moderator
Beiträge: 7805 |
||
|
||
01.09.2004, 16:32
Member
Beiträge: 19 |
#152
Aber ansonsten ist der Pc wieder fit?!
--- Mal ne Frage an euch, sabina und paff und alle anderen fleißigen Helfer: Wie eignet man sich ein dermaßend umfassendes Wissen über die Systemprozesse etc an? |
|
|
||
01.09.2004, 16:44
Member
Beiträge: 1095 |
#153
@DonDöna
Ziemlich einfach http://www.windowsstartup.com/wso/search.php http://www.sysinfo.org/startuplist.php wenn das nicht hilft www.google.de Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
16.09.2004, 21:45
Member
Beiträge: 19 |
#154
Hallöchen nochmal, das hier ist die log-file meiner Freundin. Wäre nett, wenn ihr da mal nen Blick drauf werfen könntet!
Ich habe das Gefühl, der Rechner ist total verseucht... Hier gibt es keine vernünftige Struktur etc... Vielen Dank im Vorraus! Dann habe ich noch ein Anliegen: und zwar existiert das zweite cd-rom laufwerk nicht mehr im Arbeitsplatz. Meine Freundin und ihre Familie sind PcN00bs... Die können den gerade mal anmachen und ins internet gehen... Wie kann ich das Laufwerk wieder funktionsfähig machen? Dumm ist an diesem Rechner auch, dass er von ALDI ist und somit irgendwie für mich nicht öffenbar. Ich hab alles versucht, aber ich glaube es ist nicht vorgesehen, dass man den PC öffnen soll... Naja, ich bin jedenfalls ratlos! Logfile of HijackThis v1.98.2 Scan saved at 21:39:37, on 16.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\msdrvs32.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\slvchost32.exe C:\WINDOWS\System32\crvss.exe C:\Program Files\Winad Client\Winad.exe C:\WINDOWS\System32\cnuecx.exe C:\Program Files\Winad Client\WinClt.exe C:\WINDOWS\System32\ntlmssc.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\ie.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Katharina Weber\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ssvchost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [msupdates] msupdt.exe O4 - HKLM\..\Run: [slvchost] slvchost32.exe O4 - HKLM\..\Run: [Win32 exe file] winstr32.exe O4 - HKLM\..\Run: [Windows media service] crvss.exe O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [kbopchcp] C:\WINDOWS\kbopchcp.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [sgmxuw] C:\WINDOWS\System32\cnuecx.exe O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe O4 - HKLM\..\Run: [Windows Driver Services] msdrvs32.exe O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\yxilfjwy.exe O4 - HKLM\..\Run: [NT LM Security Support Coordinator] ntlmssc.exe O4 - HKLM\..\Run: [WindowsUpdate Service] wuacltl.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\RunServices: [msupdates] msupdt.exe O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe O4 - HKLM\..\RunServices: [Win32 exe file] winstr32.exe O4 - HKLM\..\RunServices: [Windows media service] crvss.exe O4 - HKLM\..\RunServices: [Windows Driver Services] msdrvs32.exe O4 - HKLM\..\RunServices: [NT LM Security Support Coordinator] ntlmssc.exe O4 - HKLM\..\RunServices: [WindowsUpdate Service] wuacltl.exe O4 - HKLM\..\RunOnce: [Windows Driver Services] msdrvs32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Win32 Wmls Driver] winitr32.exe O4 - HKCU\..\Run: [Win32 exe file] winstr32.exe O4 - HKCU\..\Run: [Windows Driver Services] msdrvs32.exe O4 - HKCU\..\Run: [NT LM Security Support Coordinator] ntlmssc.exe O4 - HKCU\..\RunOnce: [Windows Driver Services] msdrvs32.exe O4 - Startup: Ereigniserinnerung.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 8.0\Ereg\REMIND32.EXE O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=dce880fdd4b43db05d26c105bc708b947b490acbbe58527b1e3cc50de419f663f6e1869ba7d59d0dd54ccb259a64cf9e2af008d42d:8d23b872d270842cb053a91eb61387a2 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095165401125 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 62.72.64.237 62.72.64.241 Dieser Beitrag wurde am 16.09.2004 um 22:02 Uhr von DonDöna editiert.
|
|
|
||
17.09.2004, 00:58
Ehrenmitglied
Beiträge: 29434 |
#155
Hallo @DonDöna
1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen http://www.firebird-browser.de/ 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen http://www.free-av.de/ 10) alle Passworte aendern ------------------------------------------------------------------------------------------- fixe O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [msupdates] msupdt.exe O4 - HKLM\..\Run: [slvchost] slvchost32.exe O4 - HKLM\..\Run: [Win32 exe file] winstr32.exe O4 - HKLM\..\Run: [Windows media service] crvss.exe O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [kbopchcp] C:\WINDOWS\kbopchcp.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [sgmxuw] C:\WINDOWS\System32\cnuecx.exe O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe O4 - HKLM\..\Run: [Windows Driver Services] msdrvs32.exe O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\yxilfjwy.exe O4 - HKLM\..\Run: [NT LM Security Support Coordinator] ntlmssc.exe O4 - HKLM\..\Run: [WindowsUpdate Service] wuacltl.exe O4 - HKLM\..\RunServices: [msupdates] msupdt.exe O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe O4 - HKLM\..\RunServices: [Win32 exe file] winstr32.exe O4 - HKLM\..\RunServices: [Windows media service] crvss.exe O4 - HKLM\..\RunServices: [Windows Driver Services] msdrvs32.exe O4 - HKLM\..\RunServices: [NT LM Security Support Coordinator] ntlmssc.exe O4 - HKLM\..\RunServices: [WindowsUpdate Service] wuacltl.exe O4 - HKLM\..\RunOnce: [Windows Driver Services] msdrvs32.exe O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Win32 Wmls Driver] winitr32.exe O4 - HKCU\..\Run: [Win32 exe file] winstr32.exe O4 - HKCU\..\Run: [Windows Driver Services] msdrvs32.exe O4 - HKCU\..\Run: [NT LM Security Support Coordinator] ntlmssc.exe O4 - HKCU\..\RunOnce: [Windows Driver Services] msdrvs32.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ie O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl. neustarten Loesche alle exe, im abgesicherten Modus, die du gefixt hast. Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Lade den Kasperskyscanner und scanne im abgesicherten Modus. #Kaspersky http://www.kaspersky.com/remoteviruschk.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.09.2004 um 00:59 Uhr von Sabina editiert.
|
|
|
||
17.09.2004, 12:06
Member
Beiträge: 19 |
#156
Oha, na das hört sich ja prima an Da wartet ne Menge Arbeit auf mich =D
--- Aber zum Verständnis: Ist Teil 1 deiner Hilfe ein Ratschlag oder zwigend notwendig? Würde es zunächst dem Pc gut tun nur den zweiten Teil auszuführen? Und den Kaspersky-scanner soll ich online im Abgesicherten Modus ausführen? |
|
|
||
17.09.2004, 12:08
Ehrenmitglied
Beiträge: 29434 |
#157
Nun, gute Frage.....ich empfehle NUR den ersten Teil....
mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.10.2004, 23:31
...neu hier
Beiträge: 2 |
#158
Hallo an euch PC-Gurus
Ich habe auf dem Rechner meiner Freundin beim AV-Scan merkwürdige/infizierte Dateien gefunden. Die waren mit einem gewissen Wurm "Francette.N" infiziert, allerdings meldete AV den Virus in einer Datei "Lsass.exe", was mich stutzig machte. Als ich nach "Lsass.exe" gegoogelt habe bin ich auf eben diese Seite gestoßen, wie man diesen Sasser-Wurm loswerden kann. Diverse automatische cleaner halfen nicht, also wagte ich mich an die manuelle desinfizierung nach HARDY_K's Anleitung. Leider waren weder die avserve.exe noch die 5-stelligen Zahlen auf dem Rechner. Und im besagten Verzeichnis in der Registry auch nicht. Nur beim durchsuchen der Registry nach "avserve" hat er was gefunden, was ich dann auch brav gelöscht hab (wie empfohlen). Dummerweise braucht der Rechner momentan schon 15 min um im Abgesicherten Modus zu starten, im normalen Modus will er sogar 20min haben. Hab ich da was falsches gelöscht? Was habe ich falsch gemacht? Wird es noch ein morgen geben? Ich würde mich freuen, wenn sich ein genialer und begndateter PC-Frühstücker meiner annimmt und mir einen kleinen Kurs in "NIcht-verzweifeln" gibt Danke im VOraus, Mateus |
|
|
||
19.10.2004, 00:21
Ehrenmitglied
Beiträge: 29434 |
#159
Hallo @Mattai
HijackThis: <zip< http://www.downloads.subratam.org/hijackthis.zip Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.10.2004 um 00:22 Uhr von Sabina editiert.
|
|
|
||
22.10.2004, 21:27
...neu hier
Beiträge: 2 |
#160
Hier das logfile:
Logfile of HijackThis v1.98.2 Scan saved at 21:20:12, on 22.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\explorer.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Virenremove\hilack\HijackThis.exe C:\WINNT\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\syshost.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programme\Autodesk Architectural Desktop 3\AcDcToday.ocx O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Architectural Desktop 3\InstBanr.ocx O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programme\Autodesk Architectural Desktop 3\InstFred.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programme\Autodesk Architectural Desktop 3\AcPreview.ocx Danke schön für das Kümmern, mateus |
|
|
||
23.10.2004, 10:14
Ehrenmitglied
Beiträge: 29434 |
#161
Hallo@Mattai
Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run loesche: "Microsoft IIS"="syshost.exe" Fixe mit dem HijackThis: dann neustarten: O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\syshost.exe [W32.Francette.Worm] O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm neustarten gehe in den abgesicherten Modus und loesche: <C:\Winnt\System32\nt_ddr.exe <C:\WINNT\system32\syshost.exe Das kannst du mit dem HijackThis machen: <oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Winnt\System32\nt_ddr.exe < PC NEUSTARTEN HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINNT\system32\syshost.exe <PC NEUSTARTEN #Danach www.windowsupdate.com besuchen , denn der Wurm befaellt nicht ausreichend gesicherte Systeme. #aktualisiere auch den IE http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 Dann poste noch mal das Log vom HijackThis. mfg Nikita http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.10.2004 um 10:20 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 20:08
...neu hier
Beiträge: 2 |
#162
Hallo,
habe auch mal mit Hijackthis gescannt, könnt ihr euch das mal anschaun und gucken, ob da was faul ist??? Vielen dank für die Arbeit, Markus P.S.: Habe auf XP auch das Problem, dass ich nicht ins Internet gehen kann und kein AntiViren-Programm läuft, sobald ich ins I-Net gehen will oder ein AV-Proggi starte, geht die CPU-Auslastung auf 100%... Was kann das sein?? Wenn ich von ME aus prüfe, findet kein Programm was... Logfile of HijackThis v1.98.2 Scan saved at 19:58:31, on 16.11.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\EMULE PLUS V1.1\EMULE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:/// R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL F1 - win.ini: run=C:\WINDOWS\svcinit.exe O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: ViewSource Class - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\SYSTEM\DREPLACE.DLL O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {BF3CF0D0-01B9-47D7-98A7-CE65C7702560} - C:\WINDOWS\SYSTEM\DKE.DLL (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [msci] MCRG O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\OPT~1.MOU\USBMAIN.EXE -startup O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKCU\..\Run: [eMuleAutoStart] D:\EMULE PLUS V1.1\EMULE.EXE -AutoStart O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O15 - Trusted Zone: O18 - Filter: text/html - {261A2290-EB6B-4727-8515-E595D72A1E7A} - C:\WINDOWS\SYSTEM\DKE.DLL O18 - Filter: text/plain - {261A2290-EB6B-4727-8515-E595D72A1E7A} - C:\WINDOWS\SYSTEM\DKE.DLL[/b] __________ mfG Markus Dieser Beitrag wurde am 16.11.2004 um 20:11 Uhr von BigM editiert.
|
|
|
||
16.11.2004, 20:20
Moderator
Beiträge: 7805 |
#163
Na sieh mal an. Du scheinst ncht der erste mit dem Problem zu sein.
Fixe bitte mal folgendes: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:/// R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F1 - win.ini: run=C:\WINDOWS\svcinit.exe O2 - BHO: ViewSource Class - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\SYSTEM\DREPLACE.DLL O2 - BHO: (no name) - {BF3CF0D0-01B9-47D7-98A7-CE65C7702560} - C:\WINDOWS\SYSTEM\DKE.DLL (file missing) O4 - HKLM\..\Run: [msci] MCRG O15 - Trusted Zone: O18 - Filter: text/html - {261A2290-EB6B-4727-8515-E595D72A1E7A} - C:\WINDOWS\SYSTEM\DKE.DLL O18 - Filter: text/plain - {261A2290-EB6B-4727-8515-E595D72A1E7A} - C:\WINDOWS\SYSTEM\DKE.DLL starte neu, vergebe eine neue Startseite und schaue, ob alles funktioniert. Zu deinem XP, da tippe ich mal auf Rbot infection und ungepatchtes System. Lass eScan mal den Reechner pruefen: http://www.rokop-security.de/board/index.php?showtopic=3867 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.11.2004, 10:14
...neu hier
Beiträge: 2 |
#164
Hi,
mit ME ist wieder alles OK. Danke. Das mit XP muss ich heute mal ausprobieren, ich poste dann das Ergebnis hinterher mal... Viele Grüsse, Markus __________ mfG Markus |
|
|
||
04.12.2004, 17:40
...neu hier
Beiträge: 5 |
#165
Tach zusammen, ich wollte ich euch bitten euch auch mal meinen log anzuschauen, ich bin mit meinem Latein am ende. Vielen Dank schon mal im Vorraus!
Matze __________________________________ Logfile of HijackThis v1.98.2 Scan saved at 17:52:54, on 04.12.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Armin\LOKALE~1\Temp\Rar$EX03.232\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [msmanagerw32] C:\WINNT\System32\msnngr32.exe O4 - HKLM\..\Run: [Windows Management Instrumentation] C:\WINNT\system32\mwd.exe O4 - HKLM\..\Run: [WUPD] C:\WINNT\system32\iglmtray.exe O4 - HKLM\..\Run: [mssyslanhelper] C:\WINNT\system32\msmonk32.exe O4 - HKLM\..\Run: [Microsoft Netview] gesfm32.exe O4 - HKLM\..\Run: [System Initialization] C:\WINNT\system32\msmsgri32.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Netview] gesfm32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6B3B0D02-AEA4-4D8C-BD17-10DD7099645F}: NameServer = 192.168.0.1 |
|
|
||
__________
MfG Ralf
SEO-Spam Hunter