Hallo zusammen,

ich war heute im web auf der suche nach diversem bildmaterial und habe bei der googlesuche auf einen link geklickt. nach 2 sekunden hat sich eine weiße seite aufgebaut, und ein popup mit einer sicherheitswarnung erschien. kav sprang zeitgleich an und meldete einen trojandownloader win32 (oder so..)
reflexartig auf löschen geklickt und den pc sofort vom netz genommen und mit kav gescannt. der scan ergab noch einmal einen trojandownloader
in c:\Dokumente und Einstellungen\jochen\anwendungsdaten\sun\java\deployment\cache\
javapi\v1.0\jar\javainstaller.jar-4514e5ea-2bfefb45.zip\javainstaller
/installerapplet.class

nach dem löschen wollte ich im abgesicherten modus scannen, konnte aber
nicht, der pc blieb beim booten hängen, schwarzer schirm und oben links
blinkender curser. dann normal gestartet und nach der willkommensnachricht kam ein popup mit folgendem sinngemäßen inhalt:

(mein os ist xp home)

da nach ihrer windowsaktivierung ihre hardware erheblich verändert wurde,
müssen sie windows erneut aktivieren, sie haben 3 tage zeit.

danach erschien der desktop, kav war platt (ließ sich nicht mehr starten),
taskleiste war grau im klassik look (w98 ?)
in der regedit stand unter HKLM-software-microsoft-windows-current version-run nur dieser eine eintrag:
c:\WINDOWS\help\binaries\pchealth\msconfig.exe/auto
msconfig ausgeführt und dort waren in sämtlichen reitern alle kästchen deaktiviert,
habe ich dann manuell wieder aktiviert und nach 47 versuchen auch in den abgesicherten modus gekommen (frisches escan, da kav nicht im abges.mod. funktioniert) aber 0 ergebnis, hijackthis ist me auch unauffällig (habe ich etwas übersehen ??), habs mal gepostet.
falls jemand eine idee hätte, wäre klasse. vielen dank, gruß jochen

P.S. mein windows xp ist eine legal erstandene cd aus dem laden

sitze vorm laptop und habe das log auf diskette:
R0 + R1 sind lieb


Logfile of HijackThis v1.99.0
Scan saved at 16:35:17, on 02.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Dokumente und Einstellungen\jochen\Eigene Dateien\HijackThis_1.99\.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\FRU\Remind32.exe
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 2.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {ED6D016A-12F8-4871-BEDC-CE13AAAB4F0B} (DD_v4_Member.DDv4) - http://www.drivershq.com/members/DD_v4_Member.CAB
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo Sean15

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

davon abgesehen - nichts besonderes.

Zitat:

C:\Dokumente und Einstellungen\jochen\Eigene Dateien\HijackThis_1.99\.exe

Wenn rotes Backslash nicht vorhanden (ich meine - Tippfehler)ist, kannst du ruhig schlafen.
Anderesfalls musst du dein System neu aufsetzen.
http://securityresponse.symantec.com...ackmal@mm.html

Zitat:

Zitat von Rene-gad

Hallo Sean15

davon abgesehen - nichts besonderes.

Wenn rotes Backslash nicht vorhanden (ich meine - Tippfehler)ist, kannst du ruhig schlafen.
Anderesfalls musst du dein System neu aufsetzen.
http://securityresponse.symantec.com...ackmal@mm.html

vielen dank für deine antwort Rene-gad,
der backslash war ein tippfehler...

ich werde wohl zur sicherheit das system neu aufsetzen, cheers jochen

lese Dir bitte (auf jeden Fall) die hier irgendwo im Forum vorhandenn Tipps zur Neuinstallation durch.

Warum du nach einem halben Jahr das SP2 immer noch nicht drauf hattest must Du nur Dir selber erklären.
Du surfst wohl mit IE? Es gibt Alternativen die weniger unsicher sind. Auch darüber mal nachdenken.
Zwar kann man den IE schon auch sicherer einstellen, nur geht dann fast nichts mehr.

Zitat:

Zitat von Shadow

lese Dir bitte (auf jeden Fall) die hier irgendwo im Forum vorhandenn Tipps zur Neuinstallation durch.

Warum du nach einem halben Jahr das SP2 immer noch nicht drauf hattest must Du nur Dir selber erklären.
Du surfst wohl mit IE? Es gibt Alternativen die weniger unsicher sind. Auch darüber mal nachdenken.
Zwar kann man den IE schon auch sicherer einstellen, nur geht dann fast nichts mehr.

Hallo Shadow,

die ratschläge zur Neuinstallation befolge ich gerne, keine sorge, ich surfe schon seit längerer zeit mit firefox und nutze thunderbird als emailprogramm.
sp2 werde ich mir überlegen....

Zitat:

Zitat von Sean15

ich surfe schon seit längerer zeit mit firefox

Aber beim Malwareeinfangen bist Du mit dem IE gesurft?

Zitat:

Zitat von Sean15

sp2 werde ich mir überlegen....

Da gibt es eigentlich nichts zum Überlegen

Zitat:

Zitat von Shadow

Aber beim Malwareeinfangen bist Du mit dem IE gesurft?
Da gibt es eigentlich nichts zum Überlegen

1) no, I did not surf the web using IE !!!! den IE benutze ich nur zum updaten
2) ironisch, ich habe das ironisch gemeint...

zu 2.) ich bin 100% humorlos und kenne deshalb keine Ironie.

zu 1.) rein Interesse halber: Mit welchem Browser (Version?) hast Du Dir dann dies eingefangen?

Zitat:

Zitat von Shadow

zu 2.) ich bin 100% humorlos und kenne deshalb keine Ironie.

zu 1.) rein Interesse halber: Mit welchem Browser (Version?) hast Du Dir dann dies eingefangen?

2) gut, dachte schon du bist anders....
1) version 1.0 von firefox