Hallo zusammen!

Gestern surfe ich nichtsahnend durchs Netz, wie aus dem Nichts wird mein Rechner bombardiert...mein IE geht auf und ungekannte Prozesse laufen ab... *ausschmück* *schauder*

Das Ergebnis vom Lied war, dass mein e-scan 95 Plagegeister gefunden hat
:-(
Tja, hab sie fast alle gekillt bekommen, ausser Nail.exe, welches immer wieder kommt und im "windoof"-Verzeichnins sitzt. Trotz abgesichertem Modus und Systemwiederherstellung deaktiviert. Es dauert keine 2 Sek, dann ist das Ding wieder da... Weiß einer von Euch, was das ist und wie ich es wieder killen kann?!

Grüße,
schaezle

@schaezle

Zitat:

Weiß einer von Euch, was das ist und wie ich es wieder killen kann?!

Auch hier bitte lesen:
Wie poste ich falsch

Lieber Rene,

danke für Deinen wirklich nützlichen Tipp!
Diese Threads habe ich bereits durchgelesen, bevor ich hier gepostet hab.

Dort hab ich leider keine Lösung zu meinem Problem gefunden. Lässt sich nicht so einfach löschen das Ding...

mfg

Um es also auf den Punkt zu bringen...
Es wäre sehr nett von Euch, wenn jemand wüßte, wie ich eine Datei löschen kann, die immer wieder auftaucht *gmbl*

habs schon mit Amok DelDelay versucht, aber irgendwie gehts nicht. Da muss es einen Prozess geben, den ich erst beenden sollte, ich hab aber leider keinen Plan welcher das sein soll... *blubb*

och mist *ärger* Trotzdem danke für Hilfe :-)

Hallo schaezle,

vielleicht hilft Dir dies weiter:
http://forum.hijackthis.de/showthread.php?t=3172

Ich habe es aber noch nicht selbst getestet. Anwendung erfolgt also auf eigene Gefahr!

Es wäre schön, wenn Du anschließend berichten würdest...

@schaezle

Zitat:

Da muss es einen Prozess geben, den ich erst beenden sollte, ich hab aber leider keinen Plan welcher das sein soll..

Die Richtung stimmt schon .! Post mal bitte HJT-Log.
BTW: kapiere nicht , warum du es bis dato nicht getan hast, du bist bloß kein Neuling hier .

@Lutz
mit Bezügen auf HJT-Forum würde ich vorsichtig umgehen. Die glauben z.B., einen Backdoor ohne neu zu installieren entfernen zu können..

Zitat:

Zitat von Rene-gad

@Lutz
mit Bezügen auf HJT-Forum würde ich vorsichtig umgehen. Die glauben z.B., einen Backdoor ohne neu zu installieren entfernen zu können..

[OFFTOPIC]
Hallo Rene-gad,
was andere glauben, ist mir grundsätzlich erst einmal soetwas von egal...
Aber es geht mir hier nicht um einen 'Glaubenskrieg' oder um 'Gutes Forum Schlechtes Forum', sonder -wie immer- lediglich um die Sache...
Denn, es ist nicht immer alles falsch, was man an anderer Stelle liest.
Und da wir hier ja unter uns sind - Die Anleitung ist imho auch 'nur' von einer dritten Seite übersetzt. Aber 'Pssst'...
[/OFFTOPIC]

Zitat:

Zitat von Rene-gad

@schaezle

Die Richtung stimmt schon .! Post mal bitte HJT-Log.
BTW: kapiere nicht , warum du es bis dato nicht getan hast, du bist bloß kein Neuling hier .

hm... ja hier mein logfile. vielleicht bin ich kein neuling hier *denk*
was ja noch nicht heißt, dass ich kein n00b mehr bin *unterlippevorschiebt*
mir muss man doch in blondienensprache sagen, wie ich was reparieren soll *Denk*
also...sieht so aus, als ist das ding hier gelistet, aber wie gehts wech?!

Logfile of HijackThis v1.97.7
Scan saved at 15:20:49, on 16.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\COMPON~1\PHONEB~1\NOKIAV~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\***********\Desktop\HijackThis.exe

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

Hallo schaezle,

deine HJT Version ist veraltert.
Lade die neueste Version und poste uns ein aktuelles Log-File, siehe Anleitung: HiJackThis.
Beachte die Hinweise!

Logfile of HijackThis v1.99.1
Scan saved at 15:33:48, on 16.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\COMPON~1\PHONEB~1\NOKIAV~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\HijackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O15 - Trusted Zone: h**p//ny.contentmatch.net (HKLM)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

hallo nochmal!

hab mit dem empfohlenen tool im abgesicherten modus das ding entfernt.
danke für den tipp!!!
:-)))

mein e-scan ist clean und mein HijackThis file sieht nun so aus:

Logfile of HijackThis v1.99.1
Scan saved at 17:26:40, on 16.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Winamp\Winamp.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client]
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

weiß nur nicht, was das mit dem ati hotkey poller - unknown owner - sein soll ?!
ansonsten bin ich froh das ding loszusein und hoffe, dass ich mal wieder für ne weile verschont bleib von bösen geistern ;-)

grüße,
schaezle

@schaezle

Zitat:

weiß nur nicht, was das mit dem ati hotkey poller

Google.de hast du , oder .
SP2 musst du trotzdem schnellstmöglich installieren.

Zitat:

Zitat von Rene-gad

@schaezle

Google.de hast du , oder .
SP2 musst du trotzdem schnellstmöglich installieren.

war google.de im internetpaket mit bei?!
auch wenn ich mich nun doof anhöre, aber ich weiß nicht, was SP2 sein soll...

Zitat:

Zitat von schaezle

war google.de im internetpaket mit bei?!
auch wenn ich mich nun doof anhöre, aber ich weiß nicht, was SP2 sein soll...

Wenn man doch google.de beansprucht, findet man z.B. das: http://www.microsoft.com/downloads/d...5-9e368d3cdb5a