Ungewöhnlich hohe speichernutzung
Nach hochfahren der pc liegt die speichernutzung bei ca. 250 000kb
Und seit gestern hab ich da 3 exen im prozess, die mir absolut nix sagen ->
MediaAccess.exe. / MeidiaAccK.exe & ups die hab ich vorhin von hand gelöscht (prozess beenden im taskman.) rifrrm.exe oder so ähnlich


Logfile of HijackThis v1.99.1
Scan saved at 23:21:01, on 20.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
c:\winnt\system32\wshield.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINNT\explorer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\1.0.5.0\ShprRprt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [element furth] c:\winnt\system32\repcale.exe c:\winnt\system32\palsp.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [drcXq] C:\WINNT\hibce.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [rifr] C:\PROGRA~1\COMMON~1\rifr\rifrm.exe
O4 - Startup: BGKalender.lnk = ?
O4 - Global Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\1.0.5.0\ShprRprt.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Programme\ShopperReports\Bin\1.0.5.0\ShprRprt.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c10.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12198c2f...dxIE601_de.cab
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/...5/2334156.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{C72B3FC2-7279-4F38-971C-2F61796FC1DD}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Kann man daraus etwas ersehen ??????

grüßels
Jürgen (derleu)

Hallo derleu,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Ordner „C:\base_x“ erstellen, die „mwav.exe“ dorthin entpacken, mit „kavupd.exe“ updaten. Scan IM ABGESICHERTEN MODUS dauert etwa eine Stunde), http://www.systemwiederherstellung-d...indows-xp.html
2. leere den Quarantäne-Ordner von Norton
3. nimm eine Datenträgerbereinigung vor (Start/ausführen/cleanmgr eingeben/ alle Temp-Ordner leeren und alle Offlineinhalte löschen)
4. starte nach dem Scan wieder in den normalen Modus dauert,
5. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
6. gebe dann "infected" ein,
7. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
8. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Hallo!

Identifiziere die folgenden Dateien:

c:\winnt\system32\wshield.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
c:\winnt\system32\repcale.exe
c:\winnt\system32\palsp.exe
C:\WINNT\hibce.exe
C:\PROGRA~1\COMMON~1\rifr\rifrm.exe

Alle Dateien bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

Ergebnisse bitte hier im Board posten.

Hinweis: Einige Einträge deuten darauf hin, dass sich ein Dialer auf deinem System befinden könnte. Dieser wäre zu sichern, falls du über ISDN oder Analog ins Netz gehst.

Hallo mmk,

diese Dateien sah ich auch, daher mein Rat einen Escan (ist ja auch von Kaspersky) durchzuführen. Mit Sicherheit steckt da noch wesentlich mehr in diesem System.

dartus

Zitat:

Zitat von dartus

Hallo mmk,

diese Dateien sah ich auch, daher mein Rat einen Escan (ist ja auch von Kaspersky) durchzuführen.

Das ist richtig. Nur dauert ein eScan-Scan meist etwas länger, ein Prüfen einzelner Dateien geht schneller.

Zitat:

Mit Sicherheit steckt da noch wesentlich mehr in diesem System.

So ist es bei den meisten infizierten Systemen. Aber selbst die leistungsfähigsten Virenscanner finden leider nicht alles (auch wenn sie oftmals mehr finden können, als die HijackThis-Logfiles hergeben).

Die MediaAcccess Einträge sind definitiv Adware:

http://www.liutilities.com/products/...y/mediaaccess/

Zitat:

Zitat von mmk

Das ist richtig. Nur dauert ein eScan-Scan meist etwas länger, ein Prüfen einzelner Dateien geht schneller.

So ist es bei den meisten infizierten Systemen. Aber selbst die leistungsfähigsten Virenscanner finden leider nicht alles (auch wenn sie oftmals mehr finden können, als die HijackThis-Logfiles hergeben).

daher über Jotti oder Virustotal prüfen lassen, auch ein kaspersky liegt mal daneben

Zitat:

Zitat von Passat2002

daher über Jotti oder Virustotal prüfen lassen, auch ein kaspersky liegt mal daneben

Jotti zieht allerdings wiederum auch Kaspersky zu Rat.
Aber es gib ja auch noch www.malwareupload.com.

Zitat:

Zitat von Passat2002

daher über Jotti oder Virustotal prüfen lassen, auch ein kaspersky liegt mal daneben

Jeder Virenscanner kann daneben liegen, nicht zuletzt sogar alle zusammen.

Bei jotti - und auch bei Virustotal - ist es nur hin und wieder der Fall, dass nichts mehr hochgeladen werden kann. Daher der Hinweis auf Kaspersky direkt. Inwiefern ggf. weitere Prüfungen unternommen werden sollten, zeigen ja dann die einzelnen Prüfergebnisse.

Nichts desto weniger stellen natürlich jotti wie auch virustotal gute Werkzeuge für eine Dateiprüfung dar, keine Frage.

Stimme dir zu, keine Frage

hi,

danke für die vielen lösungen.

Hab mir die dinger vorgestern eingefahren und zwar bei nem relativ harmlosen link, suchte pics von einem 9.3er Saab cabrio und fand bei google unter anderem dieses suchergebnis:

SAAB 9-3 Cabrio pictures - SAAB 9-3 Cabrio photos - SAAB 9-3 ... - [ Diese Seite übersetzen ]SAAB 9-3 Cabrio pictures, SAAB 9-3 Cabrio photos, SAAB 9-3 Cabrio pics.
carpictures.duble.com/picturesphotospics/ saab93cabriopicturesphotospics.htm - 8k - Im Cache - Ähnliche Seiten

Als ich den anklickte gingen etliche werbepopups auf mit div download popups, die ich allerdings alle verweigert habe. Danach waren die dinger drauf.

Habs mit ProzessExplorer versucht, also die exe reagierte auf den killversuch nicht. Habs manuell im Taskmanager probiert (prozess beenden) ging auch nicht. Hab anschliessend noch adware durchlaufen lassen und danach norton antivir, die MediaAccess exen liessen sich aber damit nicht löschen.

Nuin werd ichs halt mal so probieren.

Danke für die tips.

Achso, sollte man evt. google informieren?????

grüßels jürgen

Poste bitte den eScan Scanreport!

Zitat:

Zitat von derleu

Hab mir die dinger vorgestern eingefahren und zwar bei nem relativ harmlosen link, suchte pics von einem 9.3er Saab cabrio und fand bei google unter anderem dieses suchergebnis:

SAAB 9-3 Cabrio pictures - SAAB 9-3 Cabrio photos - SAAB 9-3 ... - [ Diese Seite übersetzen ]SAAB 9-3 Cabrio pictures, SAAB 9-3 Cabrio photos, SAAB 9-3 Cabrio pics.
carpictures.duble.com/picturesphotospics/ saab93cabriopicturesphotospics.htm - 8k - Im Cache - Ähnliche Seiten

Daran liegt's, wenn man mal in den Quelltext der Seite schaut:
<script language="javascript" type="text/javascript" src="h**p://static.windupdates.com/prompts/a677a17a/a679af76.js"></script>

Von static.windupdates.com kommt nur Müll.

hi

gibt es nun die daten, die hier verlangt werden, oder nicht ?
http://www.trojaner-board.de/showpos...61&postcount=3

denn diese datei interessiert mich schon

wshield.exe