lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.08.2004, 22:36
Member

Beiträge: 19
#121 ich hab hier nochmal nen hijack-log von einem bekannten... könnte da noch mal wer nen blick drauf werfen? wäre sehr freundlich!

Logfile of HijackThis v1.98.2
Scan saved at 22:30:06, on 23.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\BTV\btv.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVESVC.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVWin\AVMAILC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ISCHNI~1\LOKALE~1\Temp\Rar$EX00.682\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.eqgngnfkyrqdrpyyhxq.com/muSSNRi1owEHOxk2J39s9_r_X19xUeKb7fxZ3Ol2j5lWUBRfhy7QdoMQlya3mztx.html
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6B9037CC-B8C9-FFF6-79F7-51559F7C149A} - C:\PROGRA~1\Heckbags\LiteRemote.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Bat Way] C:\PROGRA~1\roam itch body\bore frag.exe
O4 - HKLM\..\Run: [free two bows surf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Love Start Free Two\WindowOne.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8369595A-FD0B-47FF-873C-6F4FDC44903B}: NameServer = 195.50.140.250 145.253.2.11
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)
Seitenanfang Seitenende
23.08.2004, 22:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#122 @DonDöna

Ohne Garantie, dass nach der Reinigung noch alles funktioniert.......der PC ist voellig verseucht !

http://www.spychecker.com/program/lspfix.html
zuerst lade dieses Tool und loesche
den Winsockvirus<'avsda.dll'<

Fixe (dann sofort neustarten)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.eqgngnfkyrqdrpyyhxq.com/muSSNRi1owEHOxk2J39s9_r_X19xUeKb7fxZ3Ol2j5lWUBRfhy7QdoMQlya3mztx.html
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {6B9037CC-B8C9-FFF6-79F7-51559F7C149A} - C:\PROGRA~1\Heckbags\LiteRemote.exe
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Bat Way] C:\PROGRA~1\roam itch body\bore frag.exe
O4 - HKLM\..\Run: [free two bows surf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Love Start Free Two\WindowOne.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe (DIALER (!)
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)

neustarten


#Gehe mal in die Host-Datei (mit Editor oeffnen)
schau mal in c:\Windows\System32\drivers\etc\hosts
Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!.
127.0.0.1 localhost
#Orginal Host Datei

#Gehe in <Internetoptionen< und loesche die <TemporaryInternetfiles.
#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
#Deinstalliere .[MessengerPlus3] und loesche alles
C:\Programme\Messenger Plus! 3\MsgPlus.exe"

#Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
...................................................................................................
##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!)
http://www.bsi.de/av/texte/winsave.htm
(F8 druecken, wenn der Computer hochfaehrt
-----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
....................................................................................................
normal neustarten

Lade mal folgendes Tool: (Spysweeper)
http://www.spysweeper.com/

#Lade von dieser Site
AdAware (free)
http://www.rokop-security.de/main/article.php?sid=703

Scanne noch mal im Normalmodus mit mwav.exe und poste das Virenlog.(denn der Dialer muss dann manuell geloescht werden)
und das neue Log vom HijackThis.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.08.2004 um 23:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.08.2004, 23:03
Member

Beiträge: 1095
#123 @DonDöna

Da sind ein paar heiße Sachen dabei.


Lade dir Escan
http://www.rokop-security.de/board/index.php?showtopic=3867
Installieren und updaten wie beschrieben

Virenscanner updaten

Geh bitte in den Abgesichteren Modus
http://www.bsi.de/av/texte/winsave.htm

AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.eqgngnfkyrqdrpyyhxq.com/muSSNRi1owEHOxk2J39s9_r_X19xUeKb7fxZ3Ol2j5lWUBRfhy7QdoMQlya3mztx.html
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [Bat Way] C:\PROGRA~1\roam itch body\bore frag.exe
O4 - HKLM\..\Run: [free two bows surf] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Love Start Free Two\WindowOne.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] Winregs32.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] Winregs32.exe
O4 - Startup: PowerReg Scheduler V3.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)

Dann scannen mit Escan wie oben beschrieben

Dann mit Virenscanner alle Festplatten scannen

Dann neustart und nochmal Logfile posten
Das war nur die erste Vorreinigung ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.08.2004 um 23:05 Uhr von paff editiert.
Seitenanfang Seitenende
23.08.2004, 23:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#124 Hallo @paff
Warum die "heissen Sachen"doppelt posten ? ;)
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.08.2004, 23:53
...neu hier

Beiträge: 6
#125 was muss ich machen um ihn loszuwerden?
Seitenanfang Seitenende
24.08.2004, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#126 @berlinova

Zuerst lade das HijackThis und poste es ins Forum.
http://www.downloads.subratam.org/hijackthis.zip

Symantec hat ein Removal Tool gegen den Sasser Wurm herausgebracht:
http://board.protecus.de/t9695.htm

Wenn das nichts hilft, denn der Sasser macht den PC nicht mehr vertrauenswuerdig in Punkto Sicherheit...formatiere neu.
Dann lade aber den Patch von MS und einen Antivirus vorher auf Diskette\CD und dann BEVOR du ins Net gehst, aktiviere die XP-Firewall.(falls du nicht schon vorher per CD eine Firewall geladen hast)
Dann mache die WindowsUpdates.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.08.2004 um 00:10 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.08.2004, 00:28
Member

Beiträge: 19
#127 also der bekannte, dessen hijack-file ich gepostet habe, hat sich aufgrund der "verseuchung" mit der er nicht mehr leben möchte, aber zu faul ist eure lösungsvorschläge anzuwenden, dazu entschlossen zu formatieren ;)
Seitenanfang Seitenende
24.08.2004, 00:29
Member

Beiträge: 1095
#128

Zitat

Sabina postete
Hallo @paff
Warum die "heissen Sachen"doppelt posten ? ;)
Sabina
Der Zeitunterschied kommt daher das ich ziemlich lange rumgesucht habe ;)

War auch ein HArdcore Log

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
24.08.2004, 00:33
Member

Beiträge: 1095
#129

Zitat

DonDöna postete
also der bekannte, dessen hijack-file ich gepostet habe, hat sich aufgrund der "verseuchung" mit der er nicht mehr leben möchte, aber zu faul ist eure lösungsvorschläge anzuwenden, dazu entschlossen zu formatieren ;)
Da sollte er mit seinem "neuen" Rechner vielleicht ein paar Tipps beachten.

Hab ich von User "Cidre" ganz fies geklaut

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

Zitat

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken
gruß paff
P.S. Cidre : Ich bin lernfähig ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
24.08.2004, 00:37
Member

Beiträge: 19
#130 by the way... dies ist meine eigene hijack-file... ihr wolltet ja wohl noch nen blick drauf werfen...

Logfile of HijackThis v1.98.2
Scan saved at 00:34:23, on 24.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\System32\tcpsvcs.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\Explorer.EXE
F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
F:\Programme\AVPersonal\AVGNT.EXE
G:\WhatPulse.exe
C:\uptime-project\client.exe
F:\WINNT\system32\rundll32.exe
F:\Programme\MSN Messenger\msnmsgr.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\WINNT\system32\taskmgr.exe
C:\Programme\WinRAR.exe
F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.226\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MSConfig] F:\WINNT\msconfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "F:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [WhatPulse] G:\WhatPulse.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Uptime-Project] C:\uptime-project\client.exe
O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALLP.EXE
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/de/win/QuickTimeInstaller.exe
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

---
vielen dank für die tipps @paff bzw cidre ^^
ich habe es ihm mnitgeteilt... ob er sich dran hält ist ne andere sache...
Dieser Beitrag wurde am 24.08.2004 um 00:39 Uhr von DonDöna editiert.
Seitenanfang Seitenende
24.08.2004, 00:59
Member

Beiträge: 1095
#131 @DonDöna

Alle Einträge mit (File Missing) kannst du noch Fixen.
Ist nur für die Optik

Aber was seh ich da
O4 - HKLM\..\Run: [MSConfig] F:\WINNT\msconfig.exe /auto
Das sollte auf jedenfall noch raus.
Datei wenn noch da auch löschen

Gruß paff
P.S. Das Uptime Projekt!
Ist doch wohl der Größte Unsinn der Menschheit oder ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
24.08.2004, 01:04
Member

Beiträge: 441
#132

Zitat

Hab ich von User "Cidre" ganz fies geklaut
P.S. Cidre : Ich bin lernfähig
Das kannst du so oft verwenden, wie du möchtest, es dient der Sache. ;)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
24.08.2004, 10:23
Member

Beiträge: 19
#133 wieso soll msconfig denn raus? es hilft mir eigentlich ganz gut, ungewünschte programme aus dem autostart zu entfernen...

und ja, das uptime-project ist eins der bescheuertsten programme, die es gibt... genauso http://pulse.whatnet.org <- zählt die tastenklicks und mausklicks ;)
Dieser Beitrag wurde am 24.08.2004 um 10:23 Uhr von DonDöna editiert.
Seitenanfang Seitenende
24.08.2004, 10:55
Member

Beiträge: 1095
#134

Zitat

DonDöna postete
wieso soll msconfig denn raus? es hilft mir eigentlich ganz gut, ungewünschte programme aus dem autostart zu entfernen...

und ja, das uptime-project ist eins der bescheuertsten programme, die es gibt... genauso http://pulse.whatnet.org <- zählt die tastenklicks und mausklicks ;)
Ich glaube diese msconfig.exe ist nicht die msconfig.exe die du meinst.
Ist wohl irgendwein Trojaner.

Suche einfach mal alle "msconfig.exe" auf deinem Rechner und check die hier
http://www.kaspersky.com/de/remoteviruschk.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
24.08.2004, 11:14
Member

Beiträge: 19
#135 ich habs gecheckt - ist ok... das ist die msconfig.exe, die ich haben will! allerdings hab ich die scheinbar nicht dort auf dem rechner gehabt, wo sie sein sollte (falls sie überhaupt bei win2k vorhanden ist)
Seitenanfang Seitenende