Trojaner - Qhosts.apd trojan (werde noch narrisch)

Thema ist geschlossen!
Thema ist geschlossen!
#0
11.05.2004, 20:26
...neu hier

Beiträge: 3
#1 Hi, an alle
bin nun schon fast 2 wochen dabei dieses Ding zu entfernen.
Habs schon x mal mit diversen Tools probiert.Stinger erkennts zwar -und reparierts aber beim nächsten Start isser wieder da.Bin ratlos.
Bitte um Hilfe
Mit hijack.habe ich folgendes abgelichtet.Bin auch kein PC - Kenner
System Win - Prof.wer kann helfen ??????????????????????
Logfile of HijackThis v1.97.7
Scan saved at 19:11:55, on 11.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Citrix\ICA-Client\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\realpanjo\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Outpost Firewall] D:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38105.3933101852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DANKE IM VORAUS !!!!!!
Seitenanfang Seitenende
11.05.2004, 20:36
Member
Avatar Dafra

Beiträge: 1122
#2 Fix mal:
O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe

Suche dann nach der Datei und lösch sie.
MFG
DAFRA
Seitenanfang Seitenende
11.05.2004, 20:56
...neu hier

Themenstarter

Beiträge: 3
#3 Erstmal DANKE für die schnelle Antwort,aber was ist fixen und wie funktioniert das (wie mache ich das ???)

nochmals Danke
Seitenanfang Seitenende
11.05.2004, 21:36
Member
Avatar Dafra

Beiträge: 1122
#4 Du makierst die Beiträge und klickst dann auf den Button
Fix Check.
MFG
DAFRA
Seitenanfang Seitenende
12.05.2004, 10:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe

fixen, dann neustarten und dann gehst du in die Registry
(durch das fixen kommt das aus dem Autostart, weil man es sonst nicht loeschen kann....

-Start<Ausfuehren <regedit
Dort suchst du unter Run und Runservices den scvhost auf der rechten Seite und loescht.

-dann findest du mit der Suchfunktion von Windows diese scvhost.exe und loescht sie ebenfalls.

Dann deaktivierst du die Wiederherstellung.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

startest neu und aktivierst sie wieder.


Dann scannst du noch einmal mit dem Antivirus.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.05.2004 um 10:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.05.2004, 19:53
...neu hier

Themenstarter

Beiträge: 3
#6 Hi an alle,
Im besonderen an DAFRA und SABINA .Vielen Dank für euere Hilfe.Denke hab ihn jetzt los.Zumindest zeigt Stinger nichts mehr an.
Hab gefixd. Wiederherstellung aus - Pc runtergefahren -Pc wieder an -Wiederherstellung wieder an.Habe aber O4 - HKLM\..\Run: [scvhost.exe] scvhost.exe
O4 - HKLM\..\RunServices: [scvhost.exe] scvhost.exe
nicht gefunden.
Und Stinger findet auch nichts mehr. Hurra und Freu !!!!!!
Denkt Ihr er ist weg ?
Nochmals VIELEN DANK !!
Seitenanfang Seitenende
12.07.2004, 16:02
...neu hier

Beiträge: 4
#7 Hallo alle miteinander

Auch bei mri zeigt der Stinger folgendes an

qhosts.apd.trojan

an. Natürlich habe ich versucht die hier vorgeschlagenen Schritte durchzuführen. Aber wendder Ad aware 6, noch spybot search and destroy konnten helfen. Auch HIjeck war nicht wirklich wirkungsvoll. Die hier genannten Pfade,die gefixt werden sollen, erscheinen bei mir gar nicht erst. Außerdem kann ich weder Hijeck länger Zeit öffnen noch die Registry.

Was kann ich jetzt noch tun??? Bin ziemlich verzweifelt, da der Rechner neu ist.
Seitenanfang Seitenende
12.07.2004, 16:36
Member

Beiträge: 1095
#8 @sascha
Geh mal din den Abgesicherten Modus

und starte da HiJackThis.

Speichere das logfile und mache neustart

Dann das logfile hier posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.07.2004, 17:42
...neu hier

Beiträge: 4
#9 Tja leider kommeich nicht in den abgesicherten MOdus. WEnn ich es über ausführen profbiere, schließt es sich immer, so wie auch norton oder hijeck. Und über den Neustart und F8 klappt auch nicht. Noch nen Tipp???
Seitenanfang Seitenende
12.07.2004, 21:53
Member

Beiträge: 1095
#10 @sascha

Was passiert den beim Hochfahren und F8 drücken?
Hab noch nie gehört, das man nicht in den Safemode kommt ;)

Notfalls lade die mwav.exe und lass die mal aufräumen
http://www.rokop-security.de/board/index.php?showtopic=3867

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.07.2004, 21:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Sascha Plath

Start<Ausfuehren<msconfig
Der letzte Reiter ...StartUp...poste mal, was da alles mit Haeckchen drinsteht.
Wir sagen dir dann, wo du das Haeckchen raus nehmen musst
dann neustarten.

Lade inzwischen den mawav.exe
http://www.mwti.net/antivirus/free_utilities.asp
und scanne <alle Dateien<.
Vielleicht wird es nicht viel bringen, denn solange die Viren im StartUp sind, kann man sie nicht loeschen...aber versuchen kannst du es ja.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.07.2004 um 21:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.07.2004, 00:20
...neu hier

Beiträge: 7
#12 hi leute,

hab auch dieses qhosts.apd - ding mit dem stinger gefunden. hier jetzt dieses hijackthis - zeugs:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\wupdate.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\usrbridg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\mHotkey.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
C:\WINNT\services.exe
C:\WINNT\system32\internat.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\~AceTemp\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onvista.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Video Process] sysconf.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Internet] wincfg16.exe
O4 - HKLM\..\Run: [spoolserv] spoolserv.exe
O4 - HKLM\..\Run: [Configuration Owner] mcomfix.exe
O4 - HKLM\..\Run: [MS Configuration] MSFramer.exe
O4 - HKLM\..\Run: [navp.exe] wupdate.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
O4 - HKLM\..\RunServices: [Microsoft Internet] wincfg16.exe
O4 - HKLM\..\RunServices: [spoolserv] spoolserv.exe
O4 - HKLM\..\RunServices: [Configuration Owner] mcomfix.exe
O4 - HKLM\..\RunServices: [MS Configuration] MSFramer.exe
O4 - HKLM\..\RunServices: [svchost3] svchost3.exe
O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
O4 - HKCU\..\Run: [spoolserv] spoolserv.exe
O4 - HKCU\..\Run: [services.exe] "C:\WINNT\services.exe"
O4 - HKCU\..\Run: [MS Configuration] MSFramer.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file)
O15 - Trusted Zone: www.microsoft.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2881246C-CE4E-4A5E-B893-20EF61FDD673}: NameServer = 145.253.2.196 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{2881246C-CE4E-4A5E-B893-20EF61FDD673}: NameServer = 145.253.2.196 145.253.2.203

hoffe, dass ihr mir weiterhelfen könnt.

danke
Seitenanfang Seitenende
14.07.2004, 00:29
Member

Beiträge: 1095
#13 @NK187

Da hat dich aber einer ganz heftig erwischt.

Date deinen Virenscanner up

Geh bitte in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)
O4 - HKLM\..\Run: [Video Process] sysconf.exe
O4 - HKLM\..\Run: [Microsoft Internet] wincfg16.exe
O4 - HKLM\..\Run: [spoolserv] spoolserv.exe
O4 - HKLM\..\Run: [Configuration Owner] mcomfix.exe
O4 - HKLM\..\Run: [MS Configuration] MSFramer.exe
O4 - HKLM\..\Run: [navp.exe] wupdate.exe
O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
O4 - HKLM\..\RunServices: [Microsoft Internet] wincfg16.exe
O4 - HKLM\..\RunServices: [spoolserv] spoolserv.exe
O4 - HKLM\..\RunServices: [Configuration Owner] mcomfix.exe
O4 - HKLM\..\RunServices: [MS Configuration] MSFramer.exe
O4 - HKLM\..\RunServices: [svchost3] svchost3.exe
O4 - HKLM\..\RunServices: [navp.exe] wupdate.exe
O4 - HKCU\..\Run: [spoolserv] spoolserv.exe
O4 - HKCU\..\Run: [services.exe] "C:\WINNT\services.exe"
O4 - HKCU\..\Run: [MS Configuration] MSFramer.exe

Mit Virenscanner ganze Platte scannen

Starte neu und poste das HiJackthis log nochmal

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 14.07.2004 um 00:30 Uhr von paff editiert.
Seitenanfang Seitenende
14.07.2004, 01:50
...neu hier

Beiträge: 7
#14 echt so schlimm? hört sich ja net gut an...
also,hab alles so gemacht wie beschrieben:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\usrbridg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\mHotkey.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
C:\WINNT\system32\internat.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\~AceTemp\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.onvista.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\GMX\GMXSMS~1\SMSMngr.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e81574a9-bd71-46d7-a379-07ba054d1c03} - (no file)
O15 - Trusted Zone: www.microsoft.de

schaut des scho besser aus?
Seitenanfang Seitenende
14.07.2004, 09:20
Member

Beiträge: 1095
#15 @NK187

Das sieht besser aus. Poste bitte das nächstemal das ganze Logfile damit man sieht welches Windows du hast.

Lass mal bitte den hier noch laufen
http://www.rokop-security.de/board/index.php?showtopic=3867

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 14.07.2004 um 09:22 Uhr von paff editiert.
Seitenanfang Seitenende