Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.

duhrja · 28.12.2004, 20:09

Hilfe,

also,will ich Sachen aller Art abspeichern z.B. Bild in Paint, Regedit Datei exportieren, Word Dokument ,einfach fast alles was mit Abspeichern zu tun hat meldet Norton ,dass die .exe programme auf das Internet zugreifen wollen.

Ich denk mir so, solche programme haben doch noch nie aufs Internet zu greifen wollen. Schau ich mir so an, was die Firewall so da anzeigt.

Ein doofes Informations Center aus Südkorea will meinen PC überwachen und ganz viel wissen. Was nun?

Das meldet Norton:
inetnum: 220.64.0.0 - 220.71.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: hm-changed@apnic.net 20020722
status: ALLOCATED PORTABLE
source: APNIC

% APNIC database, last updated 20041227 23:00:23
und dann noch:
lokale adresse:4950
fpt port:21
remote Adresse:220.67.210.89

Ich will nicht überwacht werden wie bei J

ames Bond

Kann mir jemand Tipps geben oder helfen?

Und heir nen bild:
http://people.freenet.de/duhrja/nortonmeldung.jpg

cacatoa · 28.12.2004, 22:28

Mich würde interessieren, was Du alles auf dem Rechner hast...
Poste mal ein HJT Logfile.
cacatoa

duhrja · 29.12.2004, 13:52

Logfile of HijackThis v1.99.0
Scan saved at 14:00:49, on 29.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\System\Norton Personal Firewall\NISUM.EXE
C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\System\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet\ICQLitea\ICQLite.exe
C:\Programme\Internet\NoPopUp 2003\nopopup.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer ver. 6.0 pro
R3 - Default URLSearchHook is missing
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPartners.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Media\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B580C5D4-290D-4F5D-A992-58C1C46CD886} - C:\WINDOWS\System32\ilg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Internet\ICQLitea\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\Media\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\Internet\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [Steam] E:\Valve\Steam\Steam.exe -silent
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - E:\Programme\DownloadTools\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\Internet\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\Internet\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\Internet\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com/?fref=149031 (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv112/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2C8FEE-C9AC-4BA2-B7E4-CFC2891A47D2}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O18 - Filter: text/plain - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O21 - SSODL: System - {52CB6B3C-1D75-40EF-BA25-82BE280FC9EC} - C:\WINDOWS\system32\system32.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\System\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Internet\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

so,das war die Savelog

cacatoa · 29.12.2004, 14:06

Hi,
du hast jede Menge Zeugs drauf.
Bitte lade Dir als ertes clearprog 1.4.1 final runter und lasse es laufen (alle Häkchen bei IE und Windows machen und auf "löschen clicken")
Dann sind erst mal alle "temp"files weg. Dann bitte neues Logfile posten; es sind dann weniger Dinge zum ausmerzen da.
Bis gleich.
cacatoa

Shadow · 29.12.2004, 14:08

oh oh

schaut nicht schön aus
mache eine automatische Log-Auswertung auf Hijackthis.de und arbeite die vielen roten Einträge ab
Bringe Windows XP auf aktuellen(!) Stand
Dito InternetExplorer (geht eh Hand in Hand)

erstelle ein neues Logfile und melde Dich dann wieder.

duhrja · 29.12.2004, 17:14

Cookies des IE 139 Cookies 40,93 KB
Cache des IE 11883 Dateien 86,56 MB
Verlauf des IE 546 Einträge 256,2 KB
URLs des IE 25 Einträge ------
AutoComplete-Einträge des IE 85 Einträge ------
Papierkorb 83 Dateien 3,930 MB
User-Temp-Verzeichnis 2476 Dateien 681,6 MB
System-Temp-Verzeichnis 408 Dateien 58,49 MB
Ausführen-Einträge im Startmenü 2 Einträge ------
Dokumente im Start-Menü 326 Einträge 192,0 KB
Datei-Liste bei Öffnen/Speichern 325 Einträge ------
Ordner 'Zuletzt verwendet' 54 Einträge 23,41 KB
Datei Such-Liste 28 Einträge ------
Computer Such-Liste 0 Einträge ------
Netzlaufwerk-Liste 1 Eintrag ------
LastKey bei Regedit 1 Eintrag ------
Windows-Zwischenablage ---------- ------
------------------------------------------------------------------------
Gelöschte Anzahl: 16.382 Einträge/Dateien
Gelöschte Datenmenge: 831,1 MB (871.505.130 Byte)

so,das wurde gelöscht.

und hier nun die neue log.
Logfile of HijackThis v1.99.0
Scan saved at 17:22:00, on 29.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

duhrja · 29.12.2004, 17:14

dort gehts weiter

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\System\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet\ICQLitea\ICQLite.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet\NoPopUp 2003\nopopup.exe
C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\System\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=143041
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=143041
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer ver. 6.0 pro
R3 - Default URLSearchHook is missing
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPartners.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Media\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B580C5D4-290D-4F5D-A992-58C1C46CD886} - C:\WINDOWS\System32\ilg.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Internet\ICQLitea\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\Media\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\Internet\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [Steam] E:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\Internet\ICQLitea\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - E:\Programme\DownloadTools\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\Internet\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\Internet\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\Internet\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com/?fref=149031 (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv112/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2C8FEE-C9AC-4BA2-B7E4-CFC2891A47D2}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O18 - Filter: text/plain - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O21 - SSODL: System - {52CB6B3C-1D75-40EF-BA25-82BE280FC9EC} - C:\WINDOWS\system32\system32.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\System\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Internet\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Für Service Pack2 hab ich keine Platz udn hab auch gründe waru ich das nicht drauf haben wil als gamer.

duhrja · 29.12.2004, 17:18

wenn ich den IE6 installieren will kommt nen fehler.

Lucky · 29.12.2004, 17:21

Wenn ich ganz ehrlich bin, bei dem verseuchten Log, würde ich den Rechnen formatieren und Windows neu aufsetzen.

- björn

cacatoa · 29.12.2004, 18:39

@ lucky: warum?

Ich würde erst mal LSPFix runterladen, das Prog laufen lassen und den "xfire"-Eintrag nach rechts auf "remove"ziehen.
Dann folgende Dateien bei Jotti online scannen:
C:\WINDOWS\System32\ilg.dll
C:\WINDOWS\System32\ilg.dll
Berichte über das Ergebnis, bevor du folgendermaßen fortfährst:

Dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendes mit HJT fixen:
C:\Programme\ISTsvc\istsvc.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_...count_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_...count_id=143041
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=143041
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPartners.dll
O2 - BHO: (no name) - {B580C5D4-290D-4F5D-A992-58C1C46CD886} - C:\WINDOWS\System32\ilg.dll (file missing)
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vr ie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vr ie.dll (file missing)
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com/?fref=149031 (file missing)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv112/x.chm::/load. exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O21 - SSODL: System - {52CB6B3C-1D75-40EF-BA25-82BE280FC9EC} -

Dann folgende Dateien manuell löschen:
C:\Programme\ISTsvc\istsvc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
C:\WINDOWS\SYSTEM\blank.htm
C:\WINDOWS\System32\ATPartners.dll
C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
C:\WINDOWS\system32\system32.dll

Dann neu booten und Systemwiederherstellung aktivieren
Dann neues Logfile posten.
cacatoa

Lucky · 29.12.2004, 19:03

Warum?
Weil du selbst nach einer Säuberungsaktion nicht mehr sicher sein kannst ob das System nun sauber ist oder nicht. Es ist kompromittiert(schreibt man das so?) und müsste daher komplett neu gemacht werden um auszuschliessen das noch irgendwelche Malware drauf ist oder Dateien geändert etc.

- björn

cacatoa · 29.12.2004, 19:27

@ lucky
aber das ist doch alles Kleinzeug, welches nicht wirklich zur Kompromittierung führt (außer die C:\WINDOWS\System32\ilg.dll ist was wirklich böses

)
Aber ich lasse mich gerne eines besseren belehren.
Gruß cacatoa

Lucky · 29.12.2004, 19:53

Weißt du was die Exe Datei macht, die ueber die Hilfedatei aufgerufen wurde?
Genau da liegt der Haken, mag zwar nach wenig aussehen, aber weißt du es wirklich zu hunderprozent?
Ich würde mich an kein System setzen wo ich nicht hundertpro weiß das es sauber ist.

- björn

cacatoa · 29.12.2004, 20:04

@ Lucky
Gebe mich geschlagen

Allerdings müßten dann mindestens 70 % der Besucher on Board neu afsetzen..
LG cacatoa

duhrja · 30.12.2004, 17:15

Thx, nee, festplatte kann und darf ich nicht formatieren, also danke werde ich mal alles ausprobieren.

Eigntlich Frage an Profis:

Ist Service Pack 2notwenidg? Systemstablitätseinbuße.

29.12.2004, 17:21	#9
Lucky /// Helfer-Team	Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. Wenn ich ganz ehrlich bin, bei dem verseuchten Log, würde ich den Rechnen formatieren und Windows neu aufsetzen. - björn __________________ Kein Support per PM!

29.12.2004, 19:53	#13
Lucky /// Helfer-Team	Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. Weißt du was die Exe Datei macht, die ueber die Hilfedatei aufgerufen wurde? Genau da liegt der Haken, mag zwar nach wenig aussehen, aber weißt du es wirklich zu hunderprozent? Ich würde mich an kein System setzen wo ich nicht hundertpro weiß das es sauber ist. - björn __________________ Kein Support per PM!

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.

Plagegeister aller Art und deren Bekämpfung: Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.