|
Plagegeister aller Art und deren Bekämpfung: was zum lesen für die Pros :)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.04.2004, 13:26 | #1 |
| was zum lesen für die Pros :) Hi, mir war so als hätte ich nen paar üble Trojaner, Viren wasauchimmer aufm Rechner, da einige Internet Seiten einfach nicht mehr erschienen... hab dann alles befolgt, so wie es in diesem Thread steht: http://www.trojaner-board.de/forum/u...c;f=6;t=004653 Hab mir sogar den Avant Browser gesaugt [img]smile.gif[/img] ) Ich wollte nur kurz meine HijackThis Log zeigen, denke aber das alles ok sein müsste.. Danke im Vorraus Logfile of HijackThis v1.97.7 Scan saved at 14:05:41, on 17.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\SCVHOST.EXE C:\Programme\Messenger\msmsgs.exe C:\dokume~1\wasser~1\anwend~1\wininet.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\eMule\emule.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [System Update4] c:\dokume~1\wasser~1\anwend~1\wininet.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8093.132349537 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4FED6B-4D41-488E-8936-616EFAB28D65}: NameServer = 62.225.244.197 194.25.2.129 |
17.04.2004, 13:36 | #2 |
/// Helfer-Team | was zum lesen für die Pros :) </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\SCVHOST.EXE</font>[/QUOTE]Das ist ganz sicher keine Windowsdatei.
__________________</font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [System Update4] c:\dokume~1\wasser~1\anwend~1\wininet.exe</font>[/QUOTE]Und die wininet.exe oben bei den laufenden Prozessen ist komisch. </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE</font>[/QUOTE]Das sieht nach einem Trojaner aus </font><blockquote>Zitat:</font><hr />O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe</font>[/QUOTE]Was ist das denn? </font><blockquote>Zitat:</font><hr />O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab </font>[/QUOTE]Das sieht für mich komisch aus, irgendwie nach einem Dialer finde ich. Was meinen die anderen? </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe</font>[/QUOTE]So wie es aussieht, sieht da aus wie nen Dialer. (laut Google) Björn [ 17. April 2004, 14:47: Beitrag editiert von: Lucky ]
__________________ |
17.04.2004, 13:37 | #3 |
| was zum lesen für die Pros :) einfach löschen oder wie soll ich vorgehen?
__________________ |
17.04.2004, 13:47 | #4 |
/// Helfer-Team | was zum lesen für die Pros :) Ich habe noch ein bissel editiert. Ja ich würde sagen ja löschen und per HijackThis fixen lassen. Aber alles auf eigene Gefahr! Björn
__________________ Kein Support per PM! |
17.04.2004, 13:57 | #5 |
| was zum lesen für die Pros :) >O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe -------------------------------------------------------------------------------- Was ist das denn? das müsste Home Cash sein, ein Banking Programm, also lass ich das mal lieber so... um den Rest kümmere ich mich, thx |
17.04.2004, 13:59 | #6 |
| was zum lesen für die Pros :) und was die svchost betrifft: http://www.pctip.ch/helpdesk/kummerk...in2k/25498.asp Würde mich auch ehrlich gesagt wundern wenn da ein Virus drin wäre, die ist uralt |
17.04.2004, 14:08 | #7 |
/// Helfer-Team | was zum lesen für die Pros :) Die Datei die ich zitiert habe heißt aber scvhost.exe und als Windowsdatei hätte sie keinen run Eintrag. Björn
__________________ Kein Support per PM! |
17.04.2004, 14:09 | #8 |
| was zum lesen für die Pros :) Ok dann hau ich die auch noch raus |
17.04.2004, 14:13 | #9 |
/// Helfer-Team | was zum lesen für die Pros :)
__________________ Kein Support per PM! |
17.04.2004, 14:18 | #10 |
Gast | was zum lesen für die Pros :) moin, </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\System32\mmtask0.exe </font>[/QUOTE]und den bitte mal auch fixen. gehört zu einem dialer lt. pestpetrol infos hier: http://www.pestpatrol.com/pestinfo%5Cm%5Cmmtask.asp |
17.04.2004, 14:19 | #11 |
/// Helfer-Team | was zum lesen für die Pros :) @mav *g* Steht doch bei meinem ersten Post drin Björn [img]graemlins/lach.gif[/img]
__________________ Kein Support per PM! |
17.04.2004, 14:21 | #12 |
| was zum lesen für die Pros :) Jo, die mmtask is draußen und nein, ich habe glaube ich net alle Patches gezogen... hinke da ein wenig hinterher... Naja ich versuch die jetz erstmal rauszuhauen und dann mal gucken |
Themen zu was zum lesen für die Pros :) |
adobe, bho, browser, explorer, hijack, hijackthis, hijackthis log, icq, internet, internet explorer, log, messenger, microsoft, nicht, nvcpl.dll, object, programme, rundll, rundll32.exe, seiten, shockwave, software, sun java, system, system32, t-online, tcpip, trojaner, viren, windows, windows xp, yahoo |