grüß gott,

bin leider auch in der misslichen lage nicht zu wissen ob mein compi 'clean' ist.
habe erst vor ein paar tagen firewall geladen... ich dachte um windows 98 würde sich keiner mehr scheren... also hier mein HijackThis protokoll, wäre nett wenn ihr mal reinschaut und bescheid gebt ob noch hoffnung besteht...

Logfile of HijackThis v1.99.0
Scan saved at 19:08:59, on 21.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\PTUDFAPP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\PROGRAMME\NASDAK\OMNIMAUS SOFTWARE\2.0\LWBWHEEL.EXE
C:\PROGRAMME\NETRATINGS\PREMETER\PRMT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE\MONITOR.EXE
C:\WINDOWS\SHICOME.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDNAGENT.EXE
C:\WINDOWS\DITEXP.EXE
C:\WINDOWS\SYSTEM\AJVBSK.EXE
C:\WINDOWS\TSCASH.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\CREATIX ONLINE\MONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\A-DOWNLOAD\HIJACK THIS\HIJACKTHIS.EXE

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.start-seite.com"); (C:\Programme\Netscape\Users\Mephisto13\prefs.js)
O2 - BHO: CSBHO - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\WINDOWS\SYSTEM\COMET\BIN\CSBHO.DLL (file missing)
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD1.DLL
O2 - BHO: (no name) - {D14641FA-445B-448E-9994-209F7AF15641} - (no file)
O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL
O3 - Toolbar: Comet Cursor Companion - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\WINDOWS\SYSTEM\COMET\BIN\CSIETB.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NASDAK\OmniMaus Software\2.0\lwbwheel.exe
O4 - HKLM\..\Run: [CC2KUI] C:\WINDOWS\SYSTEM\Comet\Bin\comet.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Premeter] C:\PROGRA~1\NETRAT~1\PREMETER\PRMT.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE\Monitor.exe
O4 - HKLM\..\Run: [shicome] C:\WINDOWS\shicome.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OWCCardbusTray] ocbtray.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [atljagvhe] C:\WINDOWS\SYSTEM\AJVBSK.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\PROGRAMME\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [TSCash] C:\WINDOWS\tscash.exe -tray -plugin
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Online Fast Key.lnk = C:\Programme\Creatix Online\MONITOR.EXE
O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

Hallo arte_miss,

Zitat:

bin leider auch in der misslichen lage nicht zu wissen ob mein compi 'clean' ist.

In deinem Log sind einige Probleme zu sehen:

Zitat:

C:\PROGRAMME\NETRATINGS\PREMETER\PRMT.EXE
C:\WINDOWS\SHICOME.EXE

Spyware. Deinstallieren.

Zitat:

C:\WINDOWS\SYSTEM\AJVBSK.EXE

Das ist mir unbekannt. Das Einzige, was absolut klar ist - dei Anwendung enthält eine Schädlingsroutine.

Zitat:

C:\WINDOWS\TSCASH.EXE

Dialer. http://www.bwk.net/kundeninformation/

Zitat:

O2 - BHO: CSBHO - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\WINDOWS\SYSTEM\COMET\BIN\CSBHO.DLL (file missing)

Spyware von Comet.

Zitat:

O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD1.DLL

Malware (Art ist mir unbekannt)

Zitat:

O2 - BHO: (no name) - {D14641FA-445B-448E-9994-209F7AF15641} - (no file)

No file - No registry: Müll

Zitat:

O2 - BHO: IPInsigtObj Class - {000004CC-E4FF-4F2C-BC30-DBEF0B983BC9} - C:\WINDOWS\IPINSIGT.DLL

Zitat:

IPInsight ist ein Prozeß, oder IE Datenbanksuchroutine-Helfer-Gegenstand, der die Adressen überwacht, die in Netzformen eingetragen sind, anscheinend zu versuchen, eine Datenbank von den körperlichen Positionen von IP zu bilden wendet.

Quelle: http://www.pestpatrol.com/pest_info/de/i/ipinsight.asp

Zitat:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: Comet Cursor Companion - {FE6BC4EF-5676-484B-88AE-883323913256} - C:\WINDOWS\SYSTEM\COMET\BIN\CSIETB.DLL (file missing)
O4 - HKLM\..\Run: [CC2KUI] C:\WINDOWS\SYSTEM\Comet\Bin\comet.exe
O4 - HKLM\..\Run: [Premeter] C:\PROGRA~1\NETRAT~1\PREMETER\PRMT.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [shicome] C:\WINDOWS\shicome.exe

O4 - HKLM\..\Run: [atljagvhe] C:\WINDOWS\SYSTEM\AJVBSK.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\PROGRAMME\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER.exe
O4 - HKCU\..\Run: [TSCash] C:\WINDOWS\tscash.exe -tray -plugin
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Riesengroße und äußerst gefährliche Müllsamlung.
Der einzige Rat: Festplatte formatieren, System neu aufspielen, Alle Passwörter wechseln.
Infos heir lesen:http://faq.underflow.de/

@ Rene-gad:
erst mal servus, aber ist shicome.exe nicht ein Treiber für einen Card-Reader?
Ändert natürlich nichts am Rest des Logs, aber wissensmäßig interessant.
cacatoa

@rene-gad

danke erst mal für die schnelle antwort, obwohl langsamer und hoffnungsvoller wäre mir lieber gewesen...

muss erst mal den schrecken verdauen...

könnt, ich grad

gibts wirklich kein, 'ich hau alles raus was bös is'-programm?

Hallo arte_miss

Zitat:

danke erst mal für die schnelle antwort, obwohl langsamer und hoffnungsvoller wäre mir lieber gewesen...

Hätte auch eine solche Antwort gerne gepostet...

Zitat:

muss erst mal den schrecken verdauen...

Warum "Schrecken"?

Zitat:

gibts wirklich kein, 'ich hau alles raus was bös is'-programm?

Folge bitte meinem Link. Dort steht alles klar und deutlich geschrieben.
@cacatoa

Zitat:

erst mal servus

Servus.

Zitat:

ist shicome.exe nicht ein Treiber für einen Card-Reader?

Schon möglich. Ich tendiere aber mehr zu dem Posting von Nils1 09.01.2005, 21:09: http://board.protecus.de/showtopic.php?threadid=14528 und hier: http://computercops.biz/postt84894.html

@ Rene-gad
Da haben wir doch schon schlimmere Logfiles gehabt; Ich würde mal die
C:\WINDOWS\SYSTEM\AJVBSK.EXE
bei Jotti online scannen und wenn es nix tragisches ist, den Rest einfach wie gewohnt entfernen; was meinst Du?

Wer kann nach meinem windows update meinen logfile entziffern ?

Logfile of HijackThis v1.99.0
Scan saved at 20:42:49, on 21.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\LEXBCES.EXE
D:\WINNT\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINNT\system32\LEXPPS.EXE
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Norton Internet Security\ccPxySvc.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\Iomega\System32\AppServices.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
D:\WINNT\TBPanel.exe
D:\WINNT\mHotkey.exe
D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
D:\Programme\Iomega\DriveIcons\ImgIcon.exe
D:\Programme\Logitech\ImageStudio\LogiTray.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
D:\WINNT\system32\cdplayer.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\Digital Image\Monitor.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\ak\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINNT\system32\iecust.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Gainward] D:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LVCOMS] D:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [Iomega Drive Icons] D:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] D:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [LogitechGalleryRepair] D:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] D:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [DeluxeCD] D:\WINNT\system32\cdplayer.exe -tray
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Digital Image Monitor.lnk = D:\Programme\Digital Image\Monitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB733721-657F-4821-B54F-3DFE2CD20CC6}: NameServer = 69.50.188.180,195.225.176.31
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - D:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - D:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - D:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - D:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - D:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

@newgucci
mache bitte einen neuen thread auf, es wird sonst unübersichtlich
chaosman

@ newgucci:
hatten wir das Thema nicht gestern schon mal?
Mach Deinen thread neu auf oder nutze wenigstens den von gestern...
cacatoa

Hallo cacatoa

Zitat:

Da haben wir doch schon schlimmere Logfiles gehabt

ich persönlich - nicht ; ?

Zitat:

Ich würde mal die C:\WINDOWS\SYSTEM\AJVBSK.EXE
bei Jotti online scannen

Wer ist Jotti? Herrens Bruder? Warum muss man dem und seinen Tools überhaupt vertrauen?

Zitat:

und wenn es nix tragisches ist, den Rest einfach wie gewohnt entfernen

Na dann - gute Nacht! Was heißt "entfernen"? Für mich es wäre "Format c:\", denn danach bin ich sicher, dass die ganze Malware weg ist.
"Entfernen wie gewohnt" im Sinne "Häckhen" im HJT zum fixen einzusetzen ist ein Kinderspiel, dass selten zum sauberen Rechner führt, sondern nur zur unbegründeten Selbstberuhigung. Weiter zum Thema "Tools und Virenscanner" The Ten Immutable Laws of Security in meiner Signatur The Law #8

@ Rene-gad:

Zitat:

Zitat von Rene-gad
"Entfernen wie gewohnt" im Sinne "Häckhen" im HJT zum fixen einzusetzen ist ein Kinderspiel, dass selten zum sauberen Rechner führt, sondern nur zur unbegründeten Selbstberuhigung.

Dann könnte man das hier doch ganz lassen und anstelle der Unterforen nur noch hinschreiben:
"Wenn Ihr ein Problem mit Euerem Rechner habt, dann setzt ihn erst mal neu auf, dann könnt Ihr wieder kommen und ein sauberes Logfile posten."

Und sollte es Dir sauer aufstoßen, daß ich geschrieben habe, "wir" hätten da schon ganz andere Logfiles gehabt, dann muß ich dazu bemerken, daß das ohne Ansehen der Person gemeint war. Solltest Du der Ansicht sein, daß es hier kein "wir" gibt, dann akzeptiere ich es.

Zitat:

Zitat von Rene-gad
Wer ist Jotti? Herrens Bruder? Warum muss man dem und seinen Tools überhaupt vertrauen?

Muß man nicht. Kann man aber. Ist jedem selbst überlassen. Ich persönlich finde es gut, wenn man eine Datei von mehreren scannern checken lassen kann.

Aber vielleicht darf ich das alles gar nicht schreiben, weil ich noch zu "jung" am board bin...
Grüße
cacatoa

Zitat:

Dann könnte man das hier doch ganz lassen und anstelle der Unterforen nur noch hinschreiben:
"Wenn Ihr ein Problem mit Euerem Rechner habt, dann setzt ihn erst mal neu auf, dann könnt Ihr wieder kommen und ein sauberes Logfile posten."

Wenn du originell erscheinen möchtest, bist du ein bisschen zu spät dran: Das Gleiche (inhaltlich mindestens) steht geschrieben an der Microsoft-Seite. http://www.microsoft.com/technet/com...mt/sm0504.mspx

Zitat:

The only way to clean a compromised system is to flatten and rebuild.

Need I translate it for your oder kommst du selbst zurecht?

ok. wenn man danach gehen würde, müsste man nach jedem trojan-downloader oder dialer sofort neuinstallieren. dies ist aber nicht immer notwendig.
du musst auch verstehen, dass ein von 1 download-trojaner befallenes system nicht als kompromittiert zu verstehen ist, sondern nur als adwarebefall. (von meiner sicht jedenfalls)
sicher, ein neu installiertes system ist am sichersten, und ich selbst würde wenn ich einen trojaner gehabt hätte neuinstallieren, aber glaubst du dass jeder von denen die hier posten neuinstallieren wollen? ich denke eben nicht.
ich denke auch, das von trojan-downloadern oder adware keine allzugroße gefahr ausgeht (außer sie lädt backdoor trojaner runter, dann ist das was anderes)

@ Rene-gad:
Das soll kein Streit werden!
Ich stell´ nur die Frage, ob du gemäß Deiner Aussagen jedesmal empfiehlst, das System neu aufzusetzen oder was anderes.

Die beiden Sachen sind allerdings etwas zynisch:

Zitat:

Wenn du originell erscheinen möchtest...

Ich brauche nicht so zu erscheinen, ich bin´s.

Zitat:

Need I translate it for your oder kommst du selbst zurecht?

Korrekt wäre: "Do I need to translate it for you..."

Damit Zynismus zurück und damit soll´s auch gut sein.

Zitat:

Zitat von Chris14

ok. wenn man danach gehen würde, müsste man nach jedem trojan-downloader oder dialer sofort neuinstallieren. dies ist aber nicht immer notwendig.

Woher willst du genau wissen, was für eine Malware-Art den Rechner befallen hat? Von HJT -Log oder von Log deines AV-Programms? Es ist sehr subjektiv und auf diese Daten gibt es kein Verlass

Zitat:

You can’t trust the event logs on a compromised system. Upon gaining full access to a system, it is simple for an attacker to modify the event logs on that system to cover any tracks. If you rely on the event logs to tell you what has been done to your system, you may just be reading what the attacker wants you to read.

Zitat:

du musst auch verstehen, dass ein von 1 download-trojaner befallenes system nicht als kompromittiert zu verstehen ist, sondern nur als adwarebefall. (von meiner sicht jedenfalls)

Man kann nie eine genaue Grenze zwischen Ad-Ware und Backdoor ziehen: im Grunde genommen - beide liefern die Informationen nach Außen, vom Benutzer verdeckt. Die Frage ist nur - wem liefern.

Zitat:

sicher, ein neu installiertes system ist am sichersten, und ich selbst würde wenn ich einen trojaner gehabt hätte neuinstallieren

Du bekomst keinen Trojaner, weil du dich vernünftig benimmst.

Zitat:

aber glaubst du dass jeder von denen die hier posten neuinstallieren wollen?

Wollen oder nicht wollen - ist mir eher Wurscht: ich will nicht, dass ein DAU in seinem PC eine offene Scheune einrichtet, die danach als Wurmschleuder von Hacker verwendet werden kann.

Zitat:

ich denke auch, das von trojan-downloadern oder adware keine allzugroße gefahr ausgeht (außer sie lädt backdoor trojaner runter, dann ist das was anderes)

In wie weit diese oder jene Malware gefährlich ist kann man nur mit der genauen Analyse der hexadezimalen Coden feststellen, was für jede Windows- Datei am PC zu machen einen gewissen Arbeitsaufwand darstellt.
Die einzige sichere Methode beim Verdacht auf Korruption ist das Neuaufsetzen des Systems.
So wird auch von BS-Hersteller Microsoft empfohlen.
Für weitere Fragen steht dir Bill Gates gerne zu Verfügung.