| |
| |||||||
Log-Analyse und Auswertung: Merkwürdige Anstalten meiner KisteWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
26.01.2005, 12:34
| #1 |
 |  Merkwürdige Anstalten meiner Kiste Wenn ich falsch gepostet haben sollte, dann einmal verschieben, ich wußte nich wohin damit.... Ich kann mir nicht helfen *seufzt* Seit neuestem, wenn ich meine Kiste anschalte, bekomme ich ein Lachen zu hören, das sich so anhört als hätte ich Santa Claus auf meiner Festplatte verewigt!! HoHo hör ich, egal auf welche Webseite ich gehe, langsam nervt es, weil ich noch nicht mal Musik hören kann ohne das ich dieses Geräusch höre!! Anbei habe ich den HijackThis gemacht und hier gepostet, vielleicht kann mir jemand helfen, wäre klasse, ich verzweifel hier so langsam, weiß nimmer weiter *seufzt* Logfile of HijackThis v1.99.0 Scan saved at 12:32:24, on 26.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zero Knowledge\Freedom\Freedom.exe C:\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:80;gopher=192.168.0.3:80;http=192.168.0.3:80;https=192.168.0.3:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Freedom Popup Killer - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Programme\Zero Knowledge\Freedom\pkR.dll O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Programme\Zero Knowledge\Freedom\FreeBHOR.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Freedom] C:\Programme\Zero Knowledge\Freedom\Freedom.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://hoyle.vugames.com/cab/WONWebLauncherControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{94F3020D-93D2-4338-9AD1-34DC1C975FB2}: NameServer = 145.253.2.142,145.253.2.171 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe Ein dickes Dangäää schon mal im voraus, auch wenn keiner eine Antwort weiß... Grüßele Schatterl
__________________ Wenn er in die Hölle will, laß ihn gehen <br />Er will in die Hölle, laß ihn ziehen |
|
26.01.2005, 12:38
| #2 | |
  | Merkwürdige Anstalten meiner KisteZitat:
Etwas vergleichbares hatten wir schon mal - schlag mich  , aber ich finde den Thread auf die Schnelle nicht wieder...
__________________ |
|
26.01.2005, 12:40
| #3 |
| | Merkwürdige Anstalten meiner Kiste *lacht* Nee, schlagen tu ich hier keinen
__________________ Dafür bin ich zu friedlich :PGrüßele Schatterl
__________________ |
|
26.01.2005, 14:26
| #4 |
| | Merkwürdige Anstalten meiner Kiste Mmmmh, also der PopUp Killer is es nich, hab ihn gefixt, aber das Geräusch bleibt bestehen  Mittlerweile ist auch noch ein zweites Geräusch hinzugekommen, das hört sich so an als würde einer irgendwas fotografieren, irgendwann schmeiss ich meine Kiste aus dem Fenster *grummel* Grüßele Schatterl
__________________ Wenn er in die Hölle will, laß ihn gehen <br />Er will in die Hölle, laß ihn ziehen |
|
26.01.2005, 14:31
| #5 |
  | Merkwürdige Anstalten meiner Kiste so komisch es auch klingt.. es könnte ein trojaner die ursache des hohos sein^^ also gehe so vor: -lade dir escan runter und gehe genau nach dieser anleitung vor -wenn escan fertig ist, gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum |
|
26.01.2005, 15:11
| #6 | ||
| | Merkwürdige Anstalten meiner Kiste Mhm, außer das Du Dein SunJava mal wieder aktualisieren könntest, fällt mir bei Deinem Log nichts auf. Aber dies hat nichts mit Deinem Problem zu tun. Kannst Du dies Zitat:
Zitat:
__________________ --> Merkwürdige Anstalten meiner Kiste |
|
27.01.2005, 00:04
| #7 |
| |  Merkwürdige Anstalten meiner Kiste hi hey soundman kommt mir ganz verdächtig vor W32/Agobot-JS ist ein Wurm, der sich auf remote Freigaben mit einfachen Kennwörtern kopiert. Der Wurm kopiert sich als soundman.exe in den Windows-Systemordner. Damit er beim Start aktiviert wird, installiert er sich als Dienst namens "soundman" und erstellt die folgenden Registrierungseinträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\soundman = soundman.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\soundman = soundman.exe schau in der regedit nach diesen einträgen und lösche sie gegebenenfalls, natürlich auch die soundman.exe  |
|
27.01.2005, 01:04
| #8 |
| | Merkwürdige Anstalten meiner Kiste Hab den ersten Pfad ohne weiteres gefunden, nur Run Services hab ich unter Win2000 nich.... Bin noch am frimmeln, aber des Viech werd ich schon noch runter kriegen, wäre ja nich der erste *gg* Dangäää noch mal für deine Hilfe im Messi Don... Grüßele Schatterl
__________________ Wenn er in die Hölle will, laß ihn gehen <br />Er will in die Hölle, laß ihn ziehen |
|
27.01.2005, 08:35
| #9 | |
| | Merkwürdige Anstalten meiner KisteZitat:
Also bitte nicht voreilig löschen. Da W32/Agobot-JS nicht mehr der jüngste ist, würde eScan den imho sicher identifizieren....
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
27.01.2005, 09:10
| #10 |
 | Merkwürdige Anstalten meiner Kiste Geh mal auf Systemsteuerung/Sound und Audiogeräte und schau nach, was da unter Soundschema eingestellt ist, gegebenenfalls stelle es auf "keine Sounds". Ich tippe darauf, dass es was mit Trillian zu tun hat, bzw. einer der Sounds ist, der zu dem Programm gehört. |
|
27.01.2005, 10:16
| #11 |
| | Merkwürdige Anstalten meiner Kiste Also, ich hab mal geschaut, hab auf meiner Kiste Win2000 laufen mit allen Sicherheitsupdates, die ich bis jetzt bei Miniweich bekommen habe!! Unter Systemsteuerung / Sound find ich Sounds - Audio - Hardware *kopfkratz* Und Soundschema find ich da auch nich, hab da schon alles durchgeschaut!! Hab keine Realtek on Board, hab eine Soundblaster 5.1 in meiner Kiste als Karte drin, kann mir nich vorstellen, das es am Trillian hängt, der Sound war schon vorher da und egal auf was für eine Seite ich gehe, hör ich halt dieses Lachen, hat keine festen Zeiten, wann es auftaucht, is eher mehr Spontan würd ich das jetzt so sagen, mal hör ich es, mal nich!! Auch dieses Fotoknipsgeräusch ist ebenfalls dasselbe, mal hör ich es und mal hör ich nix, ebenfalls keine festen Seiten oder Zeiten, es taucht einfach auf!! Apropos, eine Frage hab ich noch, was hat es damit auf sich diese Datenbereinigung, hab das noch nie ausprobiert, weil ich mir nicht sicher war, ob es mir dann vielleicht meine ganzen Daten löschen könnte, kann ich das ohne jegliche Gefahr oder Verlust der Daten auf meinen Platten anwenden?? Dangää schon mal an alle, für ihre Hilfsbereitschaft  Grüßele Schatterl
__________________ Wenn er in die Hölle will, laß ihn gehen <br />Er will in die Hölle, laß ihn ziehen Geändert von Shadoweye (27.01.2005 um 12:42 Uhr) |
|
| Themen zu Merkwürdige Anstalten meiner Kiste |
| adobe, antivir, antivir update, bho, explorer, festplatte, ftp, helfen, hijack, hijackthis, internet, internet explorer, kis, lache, langsam, messenger, microsoft, msn messenger, musik, nvcpl.dll, nvidia, popup, programme, rundll, rundll32.exe, software, system, system32, tcpip, windows |
Hybrid-Darstellung
