Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Kennt jemand ip503c06cb.speed.planet.nl

Kennt jemand ip503c06cb.speed.planet.nl


Plagegeister aller Art und deren Bekämpfung: Kennt jemand ip503c06cb.speed.planet.nl

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 3 von 3 12 3
Alt 01.03.2005, 23:21   #31
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl


Du könntest ja diesen mal installieren:
http://www.sysinternals.com/ntw2k/fr.../procexp.shtml
und die in Frage kommenden Prozesse (z.B. svchost...) einzeln durchgehen (sobald die Meldung wieder erscheint) und schauen bei welchem etwas derartiges aufgerufen/ausgeführt wird. Dort könntest Du es zumindest lokalisieren und dann ggf. im System löschen.

Was ist sus dem HijackThis-Log geworden, welches beim Auftreten der Startpage-Meldung gemacht werden sollte?
__________________
Gruß
Andy
__________________

Alt 02.03.2005, 00:19   #32
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl


Hallo Feierfox,

hier das neueste Log-File von HijackThis, nachdem ich StartPage gelöscht habe.

Die normalerweise vorhandenen Dateien, die StartPage erzeugt sind nicht darin vorhanden.

Es sieht wie immer gut aus.

Gruß

AL-ADIN

Logfile of HijackThis v1.99.0
Scan saved at 00:16:01, on 02.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe
C:\APPLI\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\APPLI\AVPersonal\AVGUARD.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\APPLI\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
__________________

Geändert von AL-ADIN (02.03.2005 um 00:24 Uhr)

Alt 02.03.2005, 00:35   #33
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl


Zitat:
nachdem ich StartPage gelöscht habe.
Wäre vielleicht besser gewesen, das Log zu machen, BEVOR Du die Datei gelöscht hast. Denn so ist die dazugehörige Datei ja nicht mehr aktiv.

Meine Idee (ohne Garantie auf Erfolg)
1. Meldung erscheint
2. sof. HijackThis laufen lassen
3. eScan laufen lassen
4. dann erst Datei löschen

Log-Dateien posten (HjT + eScan "infected")
__________________
__________________
Alt 02.03.2005, 23:40   #34
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Icon16

Kennt jemand ip503c06cb.speed.planet.nl


Hallo Feierfox,

so Scan mit HijackThis und escan ist gelaufen.

Viel hat es auf den ersten Blick nicht gebracht. Vieleicht schildere ich es kurz bevor ich die Logs bringe.

HiJackThis hat das für mich schon übliche Log erstellt, ohne das ich da jetzt noch etwas schädliches sehen kann. Vielleicht findest Du mehr raus?

escan habe ich upgedated und laufen lassen. An der Stelle, wo die Startpage-Plagegeister stehen (LokaleEinstellungen/Internet Temporary Files) ist nur der Vierenscanner wieder angesprungen, sobald escan dort zu lesen begonnen hat. Ein INFECTED wurde nicht gemeldet. Dafür 12 Errors.

Hier nun die Logs:

Logfile of HijackThis v1.99.0
Scan saved at 21:26:15, on 02.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe
C:\APPLI\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\APPLI\AVPersonal\AVGUARD.EXE
C:\APPLI\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\APPLI\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Wed Mar 02 21:28:05 2005 => **********************************************************
Wed Mar 02 21:28:05 2005 => eScan AntiVirus Toolkit Utility.
Wed Mar 02 21:28:05 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Wed Mar 02 21:28:05 2005 => **********************************************************
Wed Mar 02 21:28:05 2005 => Version 4.8.8 (C:\bases\mwavscan.com)
Wed Mar 02 21:28:05 2005 => Log File: C:\bases\MWAV.LOG
Wed Mar 02 21:28:05 2005 => Last Scan Date and Time: 24.02.2005 19:55:08
Wed Mar 02 21:28:07 2005 => Latest Date of files inside MWAV: 24 Feb 2005 20:32:31.
Wed Mar 02 21:28:08 2005 => AV Library Loaded...
Wed Mar 02 21:28:08 2005 => Scanning File C:\bases\kavss.exe
Wed Mar 02 21:28:08 2005 => Scanning File C:\bases\Getvlist.exe
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavss.dll
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavssdi.dll
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavssi.dll
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavvlg.dll
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\msvlclnt.dll
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\ipc.dll
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\main.avi
Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\virus.avi
Wed Mar 02 21:28:09 2005 => Virus Database Date: 2005/02/24
Wed Mar 02 21:28:09 2005 => Virus Database Count: 119346
Wed Mar 02 21:28:29 2005 => Generating Virus List... getvlist.exe C:\bases\vlist.txt
Wed Mar 02 21:30:24 2005 => AV Library Unloaded (3)...

Wed Mar 02 22:57:13 2005 => ***** Scanning complete. *****

Wed Mar 02 22:57:13 2005 => Total Files Scanned: 75660
Wed Mar 02 22:57:13 2005 => Total Virus(es) Found: 0
Wed Mar 02 22:57:13 2005 => Total Disinfected Files: 0
Wed Mar 02 22:57:13 2005 => Total Files Renamed: 0
Wed Mar 02 22:57:13 2005 => Total Deleted Files: 0
Wed Mar 02 22:57:13 2005 => Total Errors: 12
Wed Mar 02 22:57:13 2005 => Time Elapsed: 01:23:17
Wed Mar 02 22:57:13 2005 => Virus Database Date: 2005/03/02
Wed Mar 02 22:57:13 2005 => Virus Database Count: 120028

Wed Mar 02 22:57:13 2005 => Scan Completed.

In einem dieser Ordner steht der StartPage. Man kann löschen wie man will, erschreibt sich immer wieder da hinein.

Wed Mar 02 21:36:05 2005 => Scanning C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5 Directory
Wed Mar 02 21:36:05 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\*.*
Wed Mar 02 21:36:05 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\2XGBC7WR\*.*

Wed Mar 02 21:36:25 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\MN6P23SZ\*.*

Wed Mar 02 21:36:31 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\OPQFAZI7\*.*


Gruß

AL-ADIN

Alt 02.03.2005, 23:58   #35
Feierfox
 
Kennt jemand ip503c06cb.speed.planet.nl - Standard

Kennt jemand ip503c06cb.speed.planet.nl


Tja, bin mit meinem Latein am Ende....

Wenn Du nicht neu aufsetzen willst, empfehle ich (am besten gleich nach dem Systemstart oder besser beim Beenden des IE) das Löschen des Cache. Kann man auch bei "Internetoptionen" automatisch löschen lassen. Das obligatorische Leeren des INFECTED-Ordners und das Fixen der 018-Einträge. Kennst Du ja alles schon und kannst es sicher nicht mehr hören....
Sorry

__________________
Gruß
Andy
__________________

Alt 05.03.2005, 14:50   #36
AL-ADIN
 
Kennt jemand ip503c06cb.speed.planet.nl - Icon16

Kennt jemand ip503c06cb.speed.planet.nl


Hallo Feierfox und Leser,

nach nun mehr sechs oder acht Wochen, genau weiß ich das schon gar nicht mehr, habe ich mich entschlossen, mein System neu zu installieren.

Ehrlich gesagt, bin ich schon etwas demotiviert.

Da ich aber positiv denkend eingestellt bin, nehme ich wenigstens eine große Zahl neu gewonnener Kenntnisse über das Windows-System ansich mit. Die Erfahrung war es mir wert.

In diesem Sinne an alle Leidensgenossen

Gruß
AL-ADIN

P.S. Format C: for ever!!

P.S.S. Ich bleibe dem Forum trotzdem treu, um meine Kenntnisse zu erweitern.

Antwort
Seite 3 von 3 12 3

Themen zu Kennt jemand ip503c06cb.speed.planet.nl
.exe, adresse, compu, computer, datei, firewall, freigabe, gen, inter, interne, internetadresse, programm, zusammenhang


« Hilfe: TR/PHISH.BANKFR.CM3 | Schädlinge aller Art (ISTBar, Rbot...) »


Ähnliche Themen: Kennt jemand ip503c06cb.speed.planet.nl


  1. Kennt jemand azfucib.exe?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2014 (7)
  2. Kennt jemand uzozs.exe ?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (3)
  3. kennt jemand den trojan.gen.2
    Plagegeister aller Art und deren Bekämpfung - 27.02.2011 (26)
  4. TR/Shed.A ???Kennt den jemand?
    Log-Analyse und Auswertung - 23.07.2008 (15)
  5. Kennt jemand den Trojaner: TR/Spy.MSN.C?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  6. Was ist das? Kennt sich jemand aus?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2007 (14)
  7. kennt jemand YPS.exe
    Plagegeister aller Art und deren Bekämpfung - 05.02.2007 (2)
  8. Kennt jemand diese IP 212.43.221.215
    Log-Analyse und Auswertung - 14.09.2006 (1)
  9. Kennt jemand....
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (1)
  10. Kennt jemand iMaillight?
    Überwachung, Datenschutz und Spam - 19.05.2005 (6)
  11. Kennt jemand pupxpman.exe
    Plagegeister aller Art und deren Bekämpfung - 19.01.2005 (2)
  12. kennt jemand yyezhz.exe ?
    Log-Analyse und Auswertung - 28.10.2004 (11)
  13. Kennt jemand XOFTSPY?
    Plagegeister aller Art und deren Bekämpfung - 17.10.2004 (6)
  14. Kennt jemand 'bigbr.cc' ?
    Plagegeister aller Art und deren Bekämpfung - 05.10.2004 (3)
  15. Kennt jemand die Kerio PFW 4.0.3 ?
    Antiviren-, Firewall- und andere Schutzprogramme - 18.09.2003 (3)
  16. Evc.family - kennt den jemand?
    Plagegeister aller Art und deren Bekämpfung - 16.05.2003 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Kennt jemand ip503c06cb.speed.planet.nl - Du könntest ja diesen mal installieren: http://www.sysinternals.com/ntw2k/fr.../procexp.shtml und die in Frage kommenden Prozesse (z.B. svchost...) einzeln durchgehen (sobald die Meldung wieder erscheint) und schauen bei welchem etwas derartiges aufgerufen/ausgeführt wird. - Kennt jemand ip503c06cb.speed.planet.nl...
Archiv
Du betrachtest: Kennt jemand ip503c06cb.speed.planet.nl auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131