Trojaner - Qhosts.apd trojan (werde noch narrisch)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
23.08.2004, 02:24
...neu hier
Beiträge: 6 |
||
|
||
23.08.2004, 16:06
Ehrenmitglied
Beiträge: 29434 |
#47
@vogerl
Als erstes deaktivierst du die Wiederherstellung (kannst du nach der Reinigung wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 fixe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe neustarten Gehe in die Registry Start<Ausfuehren<regedit loesche, falls du es findest HKEY_CLASSES_ROOT\CLSID\{21FFB6C0-0DA1-11D5-A9D5- 00500413153C} HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run CMESys = ""%Program Files%\Common Files\CMEII\CMESys.exe"" schliesse die Registry und starte den PC neu Loesche: #fsg_4201a.exe or fsg_4201y.exe (oder aehnlich) #C:\Programme\Gemeinsame Dateien\GMT\GMT.exe #C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe Lade eScan http://www.mwti.net/antivirus/free_utilities.asp suche eine mwav.exe, klicke sie an, setze alle Haeckchen und ---CleanScan Dann lade die Firewall Sygate(free-version ganz untern auf der Seite) http://www.sygate.de/ Supportforum fuer Sygate http://forum.webmart.de/wmmsg.cfm?id=2104181&d=30&a=1&t=2141055 und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 16:09 Uhr von Sabina editiert.
|
|
|
||
23.08.2004, 19:57
...neu hier
Beiträge: 6 |
#48
hi sabina...vielen dank für deine kompetente hilfe....
so sieht jetzt mein log aus....escan hat zuvor keinen virus oder trojaner mehr gefunden.. Logfile of HijackThis v1.98.2 Scan saved at 19:54:37, on 23.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe D:\PROGRA~1\ZONELA~1\ZoneAlarm\zapro.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\Common\Bin\WinCinemaMgr.exe D:\Programme\WinZip\WZQKPICK.EXE D:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Ingomaniac\Desktop\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093229870014 vielen dank & gruss vogerl |
|
|
||
23.08.2004, 22:32
Ehrenmitglied
Beiträge: 29434 |
#49
Hallo @vogerl
Fixe und neustarten O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZoneAlarm\zapro.exe deinstalliere den Zonealarm...zwei Firewall sind zuviel. gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 22:34 Uhr von Sabina editiert.
|
|
|
||
23.08.2004, 23:18
...neu hier
Beiträge: 6 |
#50
hi sabina habe zonealarm deinstalliert....
mein log sieht jetzt so aus und ich hoffe es ist wieder alles ok.... 1000dank an dich... :top: Logfile of HijackThis v1.98.2 Scan saved at 23:10:41, on 23.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\Common\Bin\WinCinemaMgr.exe D:\Programme\WinZip\WZQKPICK.EXE D:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Opera7\opera.exe C:\Programme\Real\RealOne Player\RealPlay.exe C:\Dokumente und Einstellungen\Ingomaniac\Desktop\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093229870014 was mich noch immer einwenig beunruhigt sind die ständige port-scans die von sygate angezeigt werden.... Jemand scannt Ihren Computer. Ihre TCP ports: 6129, 139, 135, 3127 und 1025 wurden von 80.108.72.29 gescannt. .... sonst läuft alles bestens momentan...also nochmal herzlichen dank....:thumbsup: gruss vogerl |
|
|
||
23.08.2004, 23:39
Ehrenmitglied
Beiträge: 29434 |
#51
Hallo @vogerl
Supportforum fuer Sygate http://forum.webmart.de/wmmsg.cfm?id=2104181&d=30&a=1&t=2141055 Das Portscannen ist normal, nur das du es jetzt mit der Firewall (die dich schuetzt) mitbekommst. Die suchen nach "offenen Ports Lies dir das alles durch und deaktiviere unnoetige Dienste (schreib dir aber alles auf, was du veraenderst) http://www.zdnet.de/z/itmanager/0,39023861,2103873-4,00.htm Mache den Sygate-Onlinetest http://scan.sygatetech.com/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 23:41 Uhr von Sabina editiert.
|
|
|
||
24.08.2004, 00:01
...neu hier
Beiträge: 6 |
#52
vielen dank nochmal sabina .... du hast mir sehr geholfen....
werde mir alles genau durchlesen....... schönen abend & gruss vogerl |
|
|
||
01.09.2004, 19:55
...neu hier
Beiträge: 8 |
#53
Hallo zusammen,
ich habe auch das Problem mit dem dummen Trojaner. Leider habe ich das bei Antivirus erst vor 2 Tagen gesehen, das er jeden Tag gelöscht wird und dann bei jedem neuen Start wiederkommt. Ich hatte noch einen anderen Virus drauf, dieser wurde zum Glück richtig gelöscht. Ich habe das Virenprogramm gewechselt und benutze jetzt McAfee. Da ist es auch nicht besser. Habe mir Hijack geladen und laufen lassen. Ich hoffe ihr könnt damit was anfangen. Ich finde nichts ungewöhnliches beim Start oder so. Hier der Auszug aus dem log: Logfile of HijackThis v1.98.2 Scan saved at 19:55:02, on 01.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\System32\csmss.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE C:\Programme\McAfee.com\MPS\mscifapp.exe C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe D:\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programme\mcafee.com\mps\mcbrhlpr.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - HKLM\..\Run: [MPSExe] C:\Programme\McAfee.com\MPS\mscifapp.exe /embedding O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093022619156 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,20/mcgdmgr.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319 Hoffe um Hilfe, weiß nicht mehr weiter. Danke im Vorraus, Oliver. |
|
|
||
02.09.2004, 00:34
Ehrenmitglied
Beiträge: 29434 |
#54
Hallo @Olli82
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe:mit dem HijackThisdeaktiviere vorher im Taskmanager O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe neustarten #Ueberpreufe mit Kaspersky: http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\System32\csmss.exe #Gehe in die Registry Start<Ausfuehren<regedit loesche auf der rechten Seite, falls es da ist: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\ [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe HKEY_CURRENT_USER\Software\mzs #schliesse die Registry und starte neu. #Loesche: C:\WINDOWS\System32\csmss.exe _________________________________________________________________________________ Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. 4)Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. mfg Sabina TROJ_AGENT.EI http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=61091&VName=TROJ_AGENT.EI&VSect=T __________________________ __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.09.2004 um 00:43 Uhr von Sabina editiert.
|
|
|
||
02.09.2004, 12:41
...neu hier
Beiträge: 8 |
#55
Hallo,
danke für die schnelle und gute Hilfe. Eine Datei findet das Virenprogramm noch. File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Jetzt der Auszug aus Hijack: Logfile of HijackThis v1.98.2 Scan saved at 12:39:51, on 02.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE c:\programme\mcafee.com\agent\mcagent.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\system32\wuauclt.exe D:\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093022619156 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,20/mcgdmgr.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319 Ich hoffe es ist jetzt alles in Ordnung. Also AOL habe ich jetzt deinstalliert und so. War aber nach dem Scan erst. Nochmals danke. |
|
|
||
02.09.2004, 12:55
Ehrenmitglied
Beiträge: 29434 |
#56
@Olli82
C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Das ist kein Virus, sondern Software (also nicht loeschen !) Das Log ist sauber. Was hat denn der kaspersky zu C:\WINDOWS\System32\csmss.exe angegeben ? Du kannst noch folgendes fixen, also aus dem Autostart nehmenhat da nichts verloren) O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.09.2004 um 12:55 Uhr von Sabina editiert.
|
|
|
||
02.09.2004, 13:05
...neu hier
Beiträge: 8 |
#57
Also die Datei war mit einem Virus befallen und leider weiß ich nicht mehr wie der hieß. Also im abgesichetern Modus hat er den gelöscht und nachher auch nicht mehr gefunden. Allerdings war in meinem Dokumenten Ordner ebenfalls ein Virus. Dieser wurde aber auch gelöscht.
Danke für die Hilfe. Ich wollte schon mein System formatieren, sonst hätte ich nicht weiter gewusst. Warum kann McAfee oder Norton sowas nicht?? Man bezahlt für die Programme, aber sie löschen keine Viren. Vor allem der Virus wurde mir ja nicht in smss.exe angezeigt. Die anderen Autostartprogramme lösche ich dann auch. Danke Oliver |
|
|
||
02.09.2004, 14:40
Ehrenmitglied
Beiträge: 29434 |
#58
Hallo @Olli82
C:\WINDOWS\system32\\csmss.exe ist das Trojanische Pferd (TROJ_AGENT.EI) Durch Trojanische Pferde können sensible Daten (Passwörter, Kreditkartennummern, Kontonummern und ähnliches) ausgespäht, Dateien kopiert und gegf. alle Aktivitäten am Computer überwacht werden. Ebenso könnte der Computer von Unbekannten via Internet für kriminelle Zwecke mißbraucht werden. Wird ein Trojanisches Pferd einmal ausgeführt, kann man die durchgeführten Veränderungen im System nicht mehr rückgängig machen indem man das Trojanische Pferd selbst löscht, da dieses nur als Überträger fungiert. PC-Selbsttest..poste das Ergebnis: http://check.lfd.niedersachsen.de/start.php mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.09.2004 um 14:45 Uhr von Sabina editiert.
|
|
|
||
13.09.2004, 19:22
...neu hier
Beiträge: 8 |
#59
Hallo Sabina,
leider hat die Antwort jetzt von mir sehr lange auf sich warten lassen. Hatte nicht sehr viel Zeit in den letzten Tagen, meine Schwester hat auch Probleme mit ihrem PC. Hier das Ergebnis des Testes. Phase 1: Browser-Informationen und -Sicherheitseinstellungen Folgende Informationen wurden aus Daten Ihres WWW-Browsers ermittelt: Die Adresse Ihres Rechners **.***.***.*** Der offizielle Name Ihres Rechners Ihr Browser Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) Ihr Betriebssystem Windows XP In einem zweiten Schritt wird Ihr Browser auf aktivierte Cookies, JavaScript und Java untersucht. Falls es sich bei Ihrem WWW-Browser um einen Internet Explorer handelt, wird zusätzlich eine Prüfung auf ActiveX und Visual Basic Scripting durchgeführt. Cookies aktiviert JavaScript aktiviert Java aktiviert sicheres ActiveX aktiviert unsicheres ActiveX deaktiviert VBScript aktiviert Falls in Ihrem Browser Cookies als aktiviert erkannt wurden, besteht die Möglichkeit, dass auf einem WWW-Server Informationen über von Ihnen ausgewählte URLs verarbeitet und langfristig gespeichert werden. Dieses Verfahren stellt zwar kein Sicherheitsproblem im eigentlichen Sinne dar. Dennoch sollte Ihnen bewusst sein, dass Informationen über Ihre persönliche Nutzung des WWW Dritten bekannt sein können und sich z. B. für gezielte Werbung verwenden lassen. Falls in Ihrem WWW-Browser JavaScript, Java, ActiveX oder VBScript aktiviert ist, können sog. aktive Inhalte auf Ihrem System ausgeführt werden. Das Ausführen aktiver Inhalte stellt ein ernsthaftes Sicherheitsproblem dar, da Ihre Daten zerstört, verändert oder Dritten zugänglich gemacht werden können. Weiterführende Hinweise zu aktiven Inhalten finden Sie z. B. auf dem WWW-Server des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Neben einer ausführlichen Beschreibung aktiver Inhalte erhalten Sie hier auch Hinweise, wie sich die einzelnen Verfahren in Ihrem WWW-Browser gezielt deaktivieren lassen. In Phase 2 des Selbsttests wird Ihr Rechner auf mögliche Freigaben im Windows Netzwerk untersucht. Dazu wird eine Netzwerkverbindung von diesem Server zu Ihrem Rechner aufgebaut. Phase 2: Suche nach Windows-Freigaben Zunächst wird ermittelt, welche Informationen Ihr Rechner dem Windows Netzwerk zur Verfügung stellt. Über das Windows Netzwerk besteht die Möglichkeit, auf freigegebene Verzeichnisse und Drucker Ihres Rechners zuzugreifen. Weitere Informationen zu Windows Netzwerken können Sie im Dokument Freigabe von Verzeichnissen unter Windows NT im Grundschutzhandbuch des BSI nachlesen. Dies kann einige Sekunden dauern. Bitte warten Sie... Ihr Rechner antwortet nicht auf Anfragen im Windows-Netzwerk. Es ist davon auszugehen, dass somit auch keine Ressourcen auf Ihrem Rechner für den Zugriff von Dritten freigegeben sind. Ein weiterführender Scan Ihres Rechners in Phase 2 erübrigt sich hiermit. Die Ursachen hierfür können sein: • Auf Ihrem Rechner läuft kein Windows-Betriebssystem oder keine NetBIOS-Erweiterung wie z.B. Samba für UNIX • Ihr Rechner ist durch eine Firewall geschützt. • Ihr Netzbetreiber unterbindet den Zugriff über das Windows-Netzwerk, z.B. durch Filtermechanismen in Routern. In Selbsttest Phase 3 wird ein Portscan Ihres Rechners durchgeführt. Es wurden 65535 Ports durchsucht und 61725 offene Ports gefunden! Die Dauer des Scans betrug: 98:49 min:sec * Zeigt an, was der Port beim Öffnen zurückliefert! Also ich denke das ist doch ok oder? Ich gebe dir auch noch einmal ein Log von HiJack. Logfile of HijackThis v1.98.2 Scan saved at 01:22:25, on 11.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Logitech\SetPoint\KEM.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\system32\wuauclt.exe D:\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,83/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093022619156 O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,20/mcgdmgr.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319 Der Beitrag ist jetzt sehr lang, aber möchte nur sicher gehen das alles ok bei mir ist. Es wäre schön wenn ich auch anders mit dir in Kontakt treten könnte, zB. email. Bei meiner Schwester habe ich auch einen Verdacht, er ist bei mir auch mit im Netzwerk drin der PC. Würde mich freuen, wenn du mir auch dabei helfen könntest. Ganz herzlichen Dank aber schon mal dafür, das ich jetzt befreit bin von Viren. Oliver Dieser Beitrag wurde am 14.09.2004 um 12:06 Uhr von Olli82 editiert.
|
|
|
||
13.09.2004, 23:41
Ehrenmitglied
Beiträge: 29434 |
#60
Hallo @olli82
Hallo, loesche das bitte aus deinem Thread (ich kann es leider nicht...) offizielle Name Ihres Rechners p5............. #Fixe: O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) #AdAware (free)..woechentlich updaten und scannen http://www.lavasoft.de/support/download/ #IE Spyad (DOS) http://www.pctipp.ch/downloads/dl/27634.asp IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers. Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks. ............................................................................................................ #Was den PC deiner Schwester betrifft, so kann sie das Log ins Forum stellen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.09.2004 um 23:43 Uhr von Sabina editiert.
|
|
|
||
habe seit einigen tagen die verschiedensten probleme mit meinem PC....virensoftware wie norton oder zonealarm startet und schliesst sich nach 5 sekunden....beim scannen mit stinger finde ich immer wieder einen oder mehrere viren bzw trojaner...teilweise ist meine geschwindigkeit beim surfen extrem bescheiden...
habe mittlerweile zweimal neuaufgesetzt aber die probs hören nicht auf ...bin schon am verzweifel und wäre für jede hilfe dankbar....
hier meine letzten scans wobei die ergebnisse immer variieren...
McAfee AVERT Stinger Version 2.3.9.0 built on Aug 16 2004
Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.
Virus data file v1000 created on Aug 16 2004.
Ready to scan for 46 viruses, trojans and variants.
Scan initiated on Mon Aug 23 01:46:56 2004
C:\WINDOWS\System32\svhost.exe\svhost.exe
Found the W32/Sdbot.worm.gen virus !!!
C:\WINDOWS\System32\svhost.exe\svhost.exe has been deleted.
C:\WINDOWS\system32\winhlpp32.exe\winhlpp32.exe
Found the W32/Sdbot.worm.gen virus !!!
C:\WINDOWS\system32\winhlpp32.exe\winhlpp32.exe has been deleted.
Number of clean files: 12721
Number of infected files: 2
Number of files deleted: 2
und das hijackdingens....
Logfile of HijackThis v1.98.2
Scan saved at 02:16:59, on 23.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Dokumente und Einstellungen\Ingomaniac\Desktop\stinger.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ingomaniac\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
danke schon mal für jede hilfe...
grüsse vogerl