|
|
|
|
|
suspicious network activity...
|
Hallo Leute!
"Geschichte":
Alles fing damit an, dass ich mir mal wieder irgendwas runtergeladen habe, installieren wollte und merken musste das es net das war, was ich eigentlich wollte... -.-
Naja...habe dann auf sone ominöse "readme" geklickt und schwuppdiwupp ganz viel pornsites mitm ie offen 
Ich schnell hinterhergeklickt und musste dann aber danach feststellen, dass diese leiste hinzugefügt hat:
(ja, ich habe schon remove toolbar gemacht, aber dann öffnet sich nur im selben fenster irgendne website die nach stichworten wie "sex" und so schonmal vorgesucht hat -.- )
Naja dann dacht ich stört mich ja dann nicht weiter ich lass es einfach so...
Ein zwei Tage später kam dann diese Meldung mit einem netten *bling* -.-
Hab dann einfach nein geklickt und mir mal wieder nix weiter bei gedacht 0.o
Doch irgendwann fängt es an zu nerven, wenn diese Meldung alle 5- 10 Min. wiederkommt ... hmm...
Und weil dem alles noch nicht genug ist kommt auch noch andauernd unten rechts inner Leiste
Bekomme dann "ganz tolle" "Hilfe" von Windows ...
Habe mir dann mal Ad-Aware runtergeladen und meinen Rechner durchsuchen lassen. Hat auch bissl was gefunden, hat aber nichts geholfen ...
...jetzt kommt ihr ins Spiel 
Hattet ihr sowas auch schonmal?
Tipps?
Problemlösungen?
ahrg...
Ich bedanke mich artig
lynx
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von lynxie am 26.08.2005 17:34]
|
|
|
|
|
|
|
|
|
wie wäre es mit antivir xp?
norton antivirus,usw
|
|
|
|
|
|
|
|
|
|
|
Ohne dir etwas unterstellen zu wollen - englisches Windows eines deutschen Benutzers klingt merkwürdig. Vielleicht solltest du doch drüber nachdenken, dir eine Windows Lizenz zu besorgen; seitdem das Windows Genuine Advantage-Programm läuft kriegst du keine Updates mehr über das Microsoft Download-Center oder über Microsoft Update. Nicht gut. Wenn du bedenkst, dass Windows XP Prof. etwa so viel wie 2,5 Computerspiele kostet, ist der Preis doch angemessen, auch wenn es ein Batzen Geld ist... dafür benutzt du es ja auch tagtäglich.
Nun zu deinem Problem. Hast du Ad-Aware vor dem Scannen aktualisiert? scann mal mit Spybot - Search & Destroy durch. Probier' auch mal die Beta-Definitionsdateien, indem du wie folgt vorgehst: im Programm Modus -> Erweitert. Links unter Einstellungen -> Einstellungen bei Web-Aktualisierung "Verfügbare Betaversionen mit anzeigen." aktivieren, jetzt updaten. Danach Programm neu starten und nochmals aktualisieren. Höchstwahrscheinlich ist die Spyware unter Verwendung, sodass du aufgefordert werden wirst, nach einem Neustart erneut zu scannen - mach das dann einfach. Wenn das nicht hilft, Microsoft AntiSpyware ausprobieren. Ist zwar noch im Beta-Stadium, allerdings erkennt das Programm relativ viel - auch hier bitte wieder vergewissern, dass vor dem Scan die Definitionsdateien etc. auf aktuellstem Stand sind. Den Live-Scanner kannst du deaktivieren, ich benutze das Ding zwar nicht, würde ihn allerdings nur "On-Demand" verwenden, das heißt, nur dann manuell scannen, wenn ich es wirklich brauche. Wenn das alles nicht hilft, machst du mit Hijack This! ein System-Log ("Do a system scan and save a logfile") und kopierst dieses hier rein. In diesem Log steht, welche Prozesse im Hintergrund laufen etc. pp., damit könnte man schauen, was sich da an verdächtigem Müll tummelt.
Und Norton AntiVirus zu empfehlen liegt auch im Grenzbereich der Legalität. Damit ist dein Rechner etwa halb so schnell wie vorher, ein paar Sicherheitslöcher sind aber hinzugekommen. Persönlich benutze ich die AntiVir PersonalEdition Premium.
e/ Jetzt sehe ich, dass du das Windows 2000 Arbeitsplatz-Icon hast; was ich mich aber frage: gibt es für Win2000 das Sicherheits-Center (den Systemdienst)? glaube nicht, das ist unter WinXP auch erst mit SP2 hinzugekommen, und das SP4 für Win2000 ist älter... übrigens, den Dienst braucht kein Mensch, über Systemsteuerung -> Verwaltung -> Dienste -> Rechtsklick auf den Dienst kannst du den Startmodus ändern...
e²/ Ach, übrigens: benutzt du den IE? gibt es tatsächlich Möglichkeiten, solche Toolbars ohne Einwilligung des Users zu installieren? sieht schwer nach ActiveX-Lücke oder so aus... 
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von Wampenseppl am 26.08.2005 18:58]
|
|
|
|
|
|
|
|
|
"Windows Genuine Advantage-Programm"??
Adaware hatte ich mir grad neu runtergeladen (Ad-Aware SE Build 1.06r1) und hat wie gesagt auch was gefunden aber nichts gebracht.
Suche grade mit dem "Luke Filewalker" von AntiVir PersonelEdition Classic meine Pladde durch. Eine Datei schon recht am Anfang gefunden und auch gleich gelöscht. "HTML/Exploit.Mhtml" ... was war das??
Probiere dann mal Spybot aus ... danke!
Systemdienst? Find ich nicht bzw. hab ich net 0.o
Nein ich beutze Opera, aber der hat trotzdem ie geöffnet -.-
Also ich hab nichts eingewilligt ...
/ achso edith sagt natürlich erstmal danke und so...
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von lynxie am 26.08.2005 19:37]
|
|
|
|
|
|
|
|
|
|
äh für mich sieht das alles nach fake aus? die windowsmeldungen usw.?
|
|
|
|
|
|
|
|
|
|
|
dacht ich auch erst, darum hab ich mich ja auch net weiter drum gekümmert ... -.- also von wegen billiges popup fenster oder so ... iss aber anscheinend net ...
Spybot --> Gratulation! Es wurden keine Probleme gefunden ...
Gucke mir jetzt mal Hijack This! an...
/ der log:
Logfile of HijackThis v1.99.1
Scan saved at 20:43:43, on 26.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LckFldService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
c:\winnt\system32\vzjtnf.exe
C:\WINNT\explorer.exe
C:\Programme\Outlook Express\msimn.exe
D:\Programme\Trillian\trillian.exe
E:\Spiele\Steam\Steam.exe
D:\Programme\Refreshlock\RefreshLock.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Opera\Opera.exe
D:\Programme\Rainlendar\Rainlendar.exe
D:\Programme\FRITZ!\FriFon32.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R3 - URLSearchHook: (no name) - {86E33BDF-307E-3DAA-FBA2-3F60D542337C} - WinInitDll.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\plkou.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\plkou.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [lobmyfe] c:\winnt\system32\vzjtnf.exe r
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CFBA8F-189D-4FE2-AD75-EF43EE625D6C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINNT\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von lynxie am 26.08.2005 20:48]
|
|
|
|
|
|
|
|
|
Windows Genuine Advantage: http://www.microsoft.com/genuine/default.mspx?displaylang=de
Wie gesagt. Läuft seit Mitte letzten Monats, seitdem ist es für Besitzer von raubkopierten Windows-Versionen nicht mehr möglich, Microsoft Update (welches eine der wichtigsten Windows-Funktionen ist...) oder das Microsoft Download-Center zu benutzen.
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Hier musste ich schonmal schlucken; den Internet Explorer 6 gibt es über Microsoft Update. Es ist grob fahrlässig, damit ins Internet zu gehen, ganz davon abgesehen, dass es sowieso klüger ist, einen alternativen Browser zu benutzen. Machst du ja auch, benutzt ja wohl Opera. Allerdings ist der Internet Explorer nicht nur das Programm, dass du über Start -> Programme startest. Der IE ist ins System eingebettet und eine ganz wichtige Komponente des Betriebssystems, Hilfedateien werden zum Beispiel mit der Internet-Explorer-Engine gerendert... so lassen sich mögliche Sicherheitslecks ganz einfach nutzen.
Deine Google Toolbar ist übrigens auch veraltet.
Outlook Express bezeichne ich gerne als Viren-Wundertüte. Mozilla Thunderbird kann ich empfehlen... Opera hat doch auch einen Mail-Clienten, oder?
Jetzt aber zum serious business:
c:\winnt\system32\vzjtnf.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O4 - HKLM\..\Run: [lobmyfe] c:\winnt\system32\vzjtnf.exe r
Das ist laut Symantec Aurora Adware. Wenn AntiVir XP das nicht findet, solltest du mal BitDefender und Kaspersky ausprobieren. Laut diverser Quellen zur Zeit die besten Scan-Engines...
BitDefender Free Edition v7
Kaspersky Anti-Virus Personal
Bitte auch nur "On-Demand" benutzen, mehrere on-access Scanner gleichzeitig, die im Hintergrund laufen, ist nicht gut...
Weiter geht es:
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\plkou.dll - böse (könnte die Toolbar sein)
R3 - URLSearchHook: (no name) - {86E33BDF-307E-3DAA-FBA2-3F60D542337C} - WinInitDll.dll (file missing) - sieht verdächtig aus
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) - keine Ahnung, sieht aber komisch aus. Vorsicht.
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe - böse
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe - böse
O14 - IERESET.INF: SEARCH_PAGE_URL= - böse
O14 - IERESET.INF: START_PAGE_URL= - böse
Die Kiste ist voll mit so ziemlich allem, was man dort draußen findet; scann bitte nochmal mit HijackThis, pack diesmal aber vor die von mir genannten Punkte den Haken und mach dann "Fix checked". Höchstwahrscheinlich wird einiges nicht entfernt werden können, weil die Dateien in Verwendung sind - dann musst du manuell im abgesicherten Modus ran (beim Booten F8 hämmern)...
Wenn du da das Gröbste weg hast, poste nochmal ein Log bitte.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Wampenseppl am 26.08.2005 23:37]
|
|
|
|
|
|
|
|
|
puh danke erstmal ...
Ok, veraltet, aber wie krieg ich sie weg?? 0.o
Hab mal ganz am Anfang Outlook angefangen zu nutzen und wollte dann auch mal wechseln aber hatte mein pw für mein Konto net mehr gefunden -.- ... aber gestern grad wiedergefunden also werd dann mal wechseln.
Also:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe <-- manuell gelöscht
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe – böse <-- manuell gelöscht
O14 - IERESET.INF: SEARCH_PAGE_URL= - böse <-- manuell gelöscht
O14 - IERESET.INF: START_PAGE_URL= - böse
Hab da auch noch eine Datei namens IERESET.PNF gefunden...löschen??
c:\winnt\system32\vzjtnf.exe
O4 - HKLM\..\Run: [lobmyfe] c:\winnt\system32\vzjtnf.exe r
C:\WINNT\system32\plkou.dll - böse (könnte die Toolbar sein)
Ähm, diesen Ordner /system32 hab ich net !! 0.o
...und diese Dateien find ich über suchen auch nich.
R3 - URLSearchHook: (no name) - {86E33BDF-307E-3DAA-FBA2-3F60D542337C} - WinInitDll.dll (file missing) - sieht verdächtig aus
...nach WinInitDLL.dll gesucht aber net gefunden.
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} –
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) - keine Ahnung, sieht aber komisch aus. Vorsicht.
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.83/users/sale/web/axe/x.chm::/update.exe - böse
...wie kann ich diese drei Sachen löschen? Sind ja keine Dateien angegeben irgendwie?! 0.o
Hier nochmal der log nachdem ich "Fix checked" und im abgesicherten Modus noch die oben genannten Dateien gelöscht habe:
Logfile of HijackThis v1.99.1
Scan saved at 1:07:47 a.m., on 27/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LckFldService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
c:\winnt\system32\dwygba.exe
D:\Programme\Microsoft Office\Office\WINWORD.EXE
D:\Programme\Opera\Opera.exe
C:\Programme\Outlook Express\msimn.exe
D:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [pingaaj] c:\winnt\system32\dwygba.exe r
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CFBA8F-189D-4FE2-AD75-EF43EE625D6C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINNT\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
Probiere jetzt nochmal BitDefender ...
/ich seh grad "svcproc.exe" ist nach löschung und dann neustart wieder da -.-
2 / Habe grade einfach mal in der Adressleiste im Arbeitsplatz c:\winnt\system32 eingegeben und war dann im besagten ordner aber
c:\winnt\system32\vzjtnf.exe r und
C:\WINNT\system32\plkou.dll
sind nich da drin ... -.-
3 / F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe <-- manuell gelöscht <-- auch wieder da -.-
4 / Habe BitDefender beim ersten Scan abgebrochen weil ich vergessen hatte neueste updates zu laden danach meinte er dann nur etwas im Sinne von "Prüfvorgang nicht möglich" ... Hatte aber beim ersten suchen schon 15 "I/O Fehler" oder so gefunden...
5 / deinstalliert und neu installiert mit neusten updates ... funzt
Statistiken
Pfad prüfen : C:\
Ordner : 1441
Dateien : 56737
Archive : 1665
Komprimierte Dateien : 3458
Gefundene Viren : 11
Infizierte Dateien : 70
Warnmeldungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 59
Kopierte Dateien : 0
Verschobene Dateien : 7
" Umbenannte Dateien : 0
I/O Fehler : 15
Prüfzeit := 00:12:33
Prüfgeschwindigkeit (Dateien/Sekunde) : 75
sieht schonmal gut aus warn einige dateien dabei die hijack auch markiert hatte ... werd nochmal neu starten und nochmal hijack scannen lassen und log wieder posten ... dann ins bett 
Logfile of HijackThis v1.99.1
Scan saved at 2:28:55 a.m., on 27/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LckFldService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.exe
c:\winnt\system32\mfqxro.exe
D:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BDMCon] D:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] D:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [gzuzrww] c:\winnt\system32\mfqxro.exe r
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CFBA8F-189D-4FE2-AD75-EF43EE625D6C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINNT\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
GEIL..die Toolbar ist weck!!!!!
Scheint echt was gebracht zu haben bin ich mal gespannt ob dies shice mircrosoft security center wiederkommt...aber morgn erst...danke und n8
|
|
[Dieser Beitrag wurde 8 mal editiert; zum letzten Mal von lynxie am 27.08.2005 2:32]
|
|
|
|
|
|
|
|
|
Also das Microsoft Security Center kannst du wie folgt abstellen:
Start -> Ausführen, hier "%SystemRoot%\system32\services.msc /s" eingeben, Enter drücken. Jetzt suchst du den Namen des Dienstes (bei mir Sicherheitscenter. Deutsches XP eben...), machst darauf Rechtsklick -> Eigenschaften und stellst bei Starttyp "deaktiviert" ein, wie auch immer das bei dir auf Englisch heißen mag. Spart ein wenig Ressourcen...
Das untere Hijack This!-Log ist aktuell, nech? sieht schon besser aus, folgendes habe ich aber noch "auszusetzen":
c:\winnt\system32\mfqxro.exe
Das ist der gleiche Kram wie das oben genannte "c:\winnt\system32\dwygba.exe", anscheinend werden nach dem Löschen zufällig generierte Dateinamen durch den Schädling erstellt. Dadurch erhofft der Autor sich wohl, dass die Datei nicht anhand des Namens von Virenscannern erkannt wird. Nungut. Wenn diese Datei im Explorer nicht angezeigt wird, solltest du checken, ob auch versteckte Dateien angezeigt werden, unter XP geht das über Extras -> Ordneroptionen -> Ansicht. Wenn nicht kannst du auch Start -> Ausführen machen, hier "cmd" eingeben und im sich öffnenden Eingabefenster "del /F c:\winnt\system32\dwygba.exe" eintippen und bestätigen. Allerdings kann ich dir fast garantieren, dass eine ähnliche Datei mit willkürlichem Namen wieder erstellt wird beim nächsten Neustart - daran solltest du noch arbeiten.
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
Das hier deutet darauf hin, dass in der system.ini noch etwas mit C:\WINNT\Nail.exe steht. Bitte poste nochmal den Inhalt dieser Datei (liegt unter XP unter C:\WINDOWS\system.ini, bei dir wahrscheinlich C:\WINNT\system.ini), ändere daran bloß nichts per Hand, so kannst du dein System gut zerschießen...
Die Google-Toolbar deinstallieren: Systemsteuerung -> Software aufrufen, den Eintrag aus der Liste raussuchen und deinstallieren. Danach - wenn du das unbedingt brauchst - eben von Google neu herunterladen, dürfte aber nicht nötig sein, wenn du ohnehin Opera benutzt. Nach der Installation wieder Hijack This! scannen lassen, und schauen, ob noch was davon übrig ist:
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
Wenn ja, die "Fix"-Funktion von HJT benutzen (du weisst schon, Haken davor und ab dafür.)
O4 - HKLM\..\Run: [pingaaj] c:\winnt\system32\dwygba.exe r
Das hier scheint ein Autostart-Eintrag von dem vorherigen, zufällig generierten Dateinamen zu sein. Bitte auch via "Fix"-Funktion beheben lassen.
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
Das hier auch mal fixen lassen.
Danach wieder Log posten. Irgendwie kriegen wir das noch alles clean... auch wenn ich befürchte, dass wir mit dem Scherzkeks, der die komischen .exe-Dateien dauernd im system32-Verzeichnis ablegt, noch zu tun haben werden. Schau auch mal, ob die Nail.exe nicht wieder da ist...
|
|
|
|
|
|
|
|
|
|
|
Ja, der untere...
Das einzige was da bei mir mit Sicherheit steht heißt "Sicherheitskontenverwaltung"
Aber die restlichen Dienste stehen da auch alle in Deutsch!
"c:\winnt\system32\dwygba.exe konnte nicht gefunden werden" -.-
system.ini:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON
Toolbar geht so net weg, wenn ich da auf "ändern/entfernen" drücke flackert das fenster nur einmal so kurz und tut so als wenn er irgendwas gemacht hätte, aber iss dann immer noch da ...hab dann einfach über Hijack Haken da gemacht...
O4 - HKLM\..\Run: [pingaaj] c:\winnt\system32\dwygba.exe r <-- ist nicht mehr da 0.o
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) <-- so, auch erstmal weg (mit fix) ...
Ja, Nail.exe iss auch wieder da
So, werd eben neustarten und dann nochmal neuen log erstellen mit HJT
/ log:
Logfile of HijackThis v1.99.1
Scan saved at 10:30:28 a.m., on 27/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LckFldService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\winnt\system32\jcgdffl.exe
C:\WINNT\explorer.exe
D:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BDMCon] D:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] D:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [vdifqwt] c:\winnt\system32\jcgdffl.exe r
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CFBA8F-189D-4FE2-AD75-EF43EE625D6C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINNT\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
So und was eben auch mal wieder war (hatte ich ganz vergessen) ... öfters direkt nach dem Starten, nach der pw eingabe bem Laden vom Desktop hängt sich meine explorer.exe auf ... mus dann immer erst innen task manager unter Prozesse und da beenden maschen und dann wieder neuen task hinzufügen und dann gehts manchmal auch net gleich -.-
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von lynxie am 27.08.2005 10:32]
|
|
|
|
|
|
|
|
|
Meinst du nicht es wäre besser lieber ne Sicherheitskopie von deinen Sachen zu machen und dann die Platte mal zu formatieren?
Ich hab das gleiche Spiel wie bei dir schon mal bei einem Kumpel versucht, hoffnungslos. Ich hab zwar den größten Teil weggekriegt aber dennoch war das System total vermüllt.
Fotos, Spielstände, Musik, Videos sichern und danach formatieren!
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Chod
Meinst du nicht es wäre besser lieber ne Sicherheitskopie von deinen Sachen zu machen und dann die Platte mal zu formatieren?
Ich hab das gleiche Spiel wie bei dir schon mal bei einem Kumpel versucht, hoffnungslos. Ich hab zwar den größten Teil weggekriegt aber dennoch war das System total vermüllt.
Fotos, Spielstände, Musik, Videos sichern und danach formatieren! | |
Wäre die sauberste Sache, das stimmt.
c:\winnt\system32\jcgdffl.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O4 - HKLM\..\Run: [vdifqwt] c:\winnt\system32\jcgdffl.exe r
Diese drei Sachen gehören zusammen, probier doch mal die Punkte unter removal instructions:
http://securityresponse.symantec.com/avcenter/venc/data/adware.aurora.html
Vielleicht kriegst du den Müll damit weg.
Und wenn du formatierst... mach dir einen aktuellen Virenscanner auf CD (AntiVir XP) und installiere diesen, bevor du ins Netz gehst. Wenn du das Teil dann noch aktuell hälst und einen alternativen Browser verwendest, sollte es diesmal nicht so laufen...
e/ Das Wichtigste vergessen: bitte, kauf' dir Windows XP (Home meinetwegen), Microsoft Update wegen. Diese Updates sind tatsächlich extrem wichtig und tragen großen Anteil daran, dass es nicht so aussehen muss wie bei dir...
habe dann auf sone ominöse "readme" geklickt und schwuppdiwupp ganz viel pornsites mitm ie offen
Hätte nicht gedacht, dass sowas tatsächlich klappt. 
Du scheinst die Dateinamenserweiterungen ausgestellt zu haben, aus "readme.txt.exe" wird bei dir "readme.txt". Sollte man aktivieren, im Explorer/ Arbeitsplatz Extras -> Ordneroptionen -> Ansicht -> den Haken bei "Erweiterungen bei bekannten Dateitypen ausblenden" entfernen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Wampenseppl am 27.08.2005 14:19]
|
|
|
|
|
|
|
|
|
Sooo... ich hab nochn bissl rumgefummelt und es sieht nachnem neustart jetzt so aus:
Logfile of HijackThis v1.99.1
Scan saved at 4:15:57 p.m., on 27/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LckFldService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
c:\winnt\system32\prycfp.exe
D:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BDMCon] D:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] D:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [eexonlj] c:\winnt\system32\prycfp.exe r
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CFBA8F-189D-4FE2-AD75-EF43EE625D6C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1587A3DB-F73A-44DC-8C63-CBE6018C459D}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINNT\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
Sieht doch recht gut aus oder?
Ja, ist vll eine ganz gute Idee mit den Erweiterungen ...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
c:\winnt\system32\prycfp.exe
O4 - HKLM\..\Run: [eexonlj] c:\winnt\system32\prycfp.exe r
Immer noch das Gleiche.
Und BitDefender solltest du deaktivieren, wenn du sowieso schon AntiVir XP laufen hast. Über Start -> Ausführen -> msconfig -> Systemstart solltest du den entsprechenden Haken für xcommsvr.exe entfernen. Das ist wohl der BitDefender-Prozess.
|
|
|
|
|
|
|
|
|
|
|
c:\winnt\system32\prycfp.exe
O4 - HKLM\..\Run: [eexonlj] c:\winnt\system32\prycfp.exe r
Ahrg und wie krieg ich die jetzt noch weg? 0.o
"Die Datei "msconfig" wurde nicht gefunden" ... -.-
Aber habs einfach anders ausm autostart genommen...
Ah ja, danke Chod.
/ Hmm 'ne kleine zeitlang ging das jetzt zwar gut aber jetzt ist es wieder da (security center und unten rechts "Your Computer might be at risk") ..shice man...
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von lynxie am 27.08.2005 23:17]
|
|
|
|
|
|
|
|
|
Da sag ich doch mal dezent LOL
Du benutzt den IE, surfst warscheinlich mit Adminrechten, installierst irgendwelche Programme von denen du deren Inhalt nicht kennst und versuchst dann auch noch die ganze Verseuchung deines PCs mit zusätzlichen Programmen zu lösen. Tjo Nice try. Ich würd mal sagen, du hast grade einige Stunden geopfert die im Endeffekt genau gar nichts gebracht haben.
Einen kompromitierten Rechner mit Removal-Tools wieder freizukriegen ist zwar eine Sache die einem "Sicherheitsexperten" immer gerne empfehlen, aber eigentlich noch sinnloser als wenn du gleich gar nichts unternehmen würdest.
Jedes Programm das auf deinem PC installiert wird, egal ob es nun ein "richtiger" Antivirenscanner oder "nur" ein AntiSpywareprog ist kann von diversen Schadprogrammen verändert werden. Deren Aussagen dann nach dem Scan kannst du dir schenken, weil du nichtmal mehr ersehen kannst ob diese wirklich noch vom Scanner kommen.
Wenn du deinen PC wieder zu "deinem" PC machen willst, dann mach deine Platte platt und setz das System neu auf. Häng den Rechner hinter ne Hardwarefirewall oder schalt alle Systemdienste aus (www.dingens.org). Dann zieh dir alle Updates für Windows, installier nen ordentlichen Virenscanner und !halte! ihn aktuell. Verpass deinem IE einen Maulkorb und vergiss Outlook. Und nicht zu letzt, surf nur noch mit eingeschränkten Benutzerrechten.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von King-TA am 28.08.2005 15:06]
|
|
|
|
|
|
| Thema: Windows Security Center ( suspicious network activity... ) |
|
