|
Plagegeister aller Art und deren Bekämpfung: Seltsame .exe die meine Platte vollschreibtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.08.2005, 10:51 | #1 |
| Seltsame .exe die meine Platte vollschreibt Hilfe! Ich habe gestern Abend ganz friedlich meine Mails via Thunderbird abgerufen, als meine Norton-Firewall mir ganz panisch mitteilte, dass eine meiner Mails mit w32.netsky.P@mm infiziert sei. Die Firewall versicherte mir dann, dass er die Mail isoliert und gelöscht habe. Pustekuchen!! Ich habe in meinem Quarantine-Ordner meines Norton nun eine 3DB32D54.exe die den kompletten Ordner und eine Ebene drunter alles mit tmp-files vollschreibt! Ich kann die .exe nicht löschen und lösche ich die tmp-files manuell sind sie nach 2 Sekunden wieder da. Ich habe schon Antinetsky-DE.exe (ein Netsky removal) drüberlaufen lassen, aber der sagt mir es sei nichts infiziert. Meine Festplatte platzt bald aus allen Ecken und ich komme einfach nicht dagegen an. Was muss ich denn jetzt machen???? |
03.08.2005, 10:54 | #2 |
/// Helfer-Team | Seltsame .exe die meine Platte vollschreibt Folge der Anleitung und poste das Logfile:
__________________http://www.trojaner-board.de/showthread.php?t=17493 |
03.08.2005, 11:10 | #3 |
| Seltsame .exe die meine Platte vollschreibt Hallo Chili
__________________ausser dem HJT posten mach gleich mal noch folgendes, lösche alle dir unbekannten eMails leere den Papierkorb von Thunderbird und gehe in Datei--> Offline --> Offlineeinstellungen Haken setzen bei Ordner komprimieren Lade ClearProg = =>Haken setzen bei alles löschen und auf ok. Leere zusätzlich den Quarantäneordner vom AV-Programm
__________________ |
03.08.2005, 16:54 | #4 |
| Seltsame .exe die meine Platte vollschreibt Ich hab das logfile reingestellt und mich an das gehaltenw a sihr geschrieben habt...barg nur ein Problem. Beim Löschen des Quaratine-ordners konnt eich zwar die .exe endlich löschen, blöderweise sind die .tmp-files nach dem löschen sofort wieder da....sie generieren sich quasi während des löschens neu! HILFE! logfile unter: http://www.trojaner-board.de/showthr...136#post157136 |
03.08.2005, 17:39 | #6 |
| Seltsame .exe die meine Platte vollschreibt Tut mir leid, mit dem extra-Thread. ich habe da wohl was missverstanden. Also hier das logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:41:02, on 03.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE D:\CigdemSoftware\Tortoise\bin\TSVNCache.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\CigdemSoftware\OpenOffice\program\soffice.exe D:\DIESIM~2\TSBin\Sims2EP1.exe C:\DOKUME~1\ZLEMCE~1\LOKALE~1\Temp\~e5.0001 C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\FireFox\firefox.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.searchgateway.net/search/%s R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll O1 - Hosts: 69.64.35.177 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\CigdemSoftware\OpenOffice\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - hxxp://gn.one2bill.de/soft/axload.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - h**p://install.global-netcom.de/ieloader.cab O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - h**p://216.82.66.200/build/preload.cab O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - hxxp://bajor.informatik.uni-oldenburg.de/qp2.cab O16 - DPF: {07E9CDF4-20D2-46B1-B681-663968F527CE} (iiittt Class) - h**p://www.begin2search.com/toolbar/winb2s32.cab O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - h**p://www.browserplugin.com/EroticAccess/cabs/1757004.cab O16 - DPF: {17163BB4-107E-11D4-9B76-006097DF2317} (EABootStrap Class) - h**p://www.ea.com/downloads/games/common/boot_strap/iegils.cab O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - h**p://download.nocreditcard.com/download/Object/ieaccess2XP.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {4BDAF1F5-6D21-42F9-AAB9-CE0050407803} (GameDesire Uninstaller) - hxxp://www.gamedesire.com/g_bin/ginuser_ger_2_0_0_3.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ea779957350a59606/netzip/RdxIE601_de.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - h**p://freeload.cc/secure/ieloader.cab O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - h**p://dload.ipbill.com/del/loader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.service-url.de/StarInstall.ocx O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - h**p://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{796E849D-4812-4486-B60B-61471EC7E910}: NameServer = 212.6.108.140 212.6.108.141 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Geändert von Chili (03.08.2005 um 21:06 Uhr) |
03.08.2005, 17:55 | #7 |
| Seltsame .exe die meine Platte vollschreibt Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden. Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe Du solltest unbedingt Dein System updaten Windowsupdate oder CD-Bestellung SP2 Lade dir LspFix Deinstalliere unter Start à Einstellungen à Systemsteuerung/Software NewdotNet oder NewNet oder ähnliches Sollte dort nichts stehen, gehe auf die folgende Seite und führe die Prozedur 4 aus http://www.newdotnet.com/removal.html#remove Solltest du danach Probleme haben ins Netz zu kommen, repariere mit LspFix Lade Dir Spybot-S&D und Ad-Aware und update beide Programme. --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung folgende Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http: //www.searchgateway.net/search/%s O1 - Hosts: 69.64.35.177 auto.search.msn.com O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet4_50.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http: //gn.one2bill.de/soft/axload.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http: //install.global-netcom.de/ieloader.cab O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http: //216.82.66.200/build/preload.cab O16 - DPF: {07E9CDF4-20D2-46B1-B681-663968F527CE} (iiittt Class) - http: //www.begin2search.com/toolbar/winb2s32.cab O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http: //www.browserplugin.com/EroticAccess/cabs/1757004.cab O16 - DPF: {17163BB4-107E-11D4-9B76-006097DF2317} (EABootStrap Class) - http: //www.ea.com/downloads/games/common/boot_strap/iegils.cab O16 - DPF: {1D2DCA0D-B30F-40AD-9690-087105F214EC} (IEDial Class) - http: //download.nocreditcard.com/download/Object/ieaccess2XP.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http: //akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {4BDAF1F5-6D21-42F9-AAB9-CE0050407803} (GameDesire Uninstaller) - http: //www.gamedesire.com/g_bin/ginuser_ger_2_0_0_3.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http: //freeload.cc/secure/ieloader.cab O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http: //dload.ipbill.com/del/loader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http: //install.service-url.de/StarInstall.ocx O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http: //www2.incredimail.com/contents/setup/downloader/imloader.cab lösche von hand folgende Dateien/Ordner: C:\Programme\NewDotNet --> falls noch vorhanden c:\info6_s.cab c:\ied_s7.cab c:\wx.cab scanne jetzt nacheinander mit Spybot und Ad-aware und lösche alle Funde Neu booten neues HJt posten |
03.08.2005, 21:10 | #8 |
| Seltsame .exe die meine Platte vollschreibt hier das log nachdem ich mit allem durch bin: Logfile of HijackThis v1.99.1 Scan saved at 21:57:55, on 03.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe D:\CigdemSoftware\Tortoise\bin\TSVNCache.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\CigdemSoftware\Spybot - Search & Destroy\TeaTimer.exe D:\CigdemSoftware\OpenOffice\program\soffice.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Uni-Cigdem\Downloads\HijackThis.exe C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\CIGDEM~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\CigdemSoftware\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\CigdemSoftware\OpenOffice\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\CHAT\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - h**p://bajor.informatik.uni-oldenburg.de/qp2.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/261ea779957350a59606/netzip/RdxIE601_de.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - h**p://fdl.msn.com/zone/datafiles/heartbeat.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe ehm, was hatte ich mir denn nun eingefangen?? |
03.08.2005, 21:18 | #9 | ||
| Seltsame .exe die meine Platte vollschreibtZitat:
Das würde ich nicht machen... btw: Zitat:
|
03.08.2005, 21:24 | #10 |
| Seltsame .exe die meine Platte vollschreibt @ Haui Full ack! Das wäre ja fast das gleiche als würde ich mir bei der Antivirusgold-Variante von Smitfraud Antivirus-Gold kaufen. Infos zu newdotnet und Entfernung: http://www.schmager.de/newdotnet.shtml
__________________ Only cronos endures |
03.08.2005, 22:04 | #11 |
| Seltsame .exe die meine Platte vollschreibt @ Haui @ Cronos Full Ack! aber da sind die in aderen Foren/Seiten wohl auf dem Holzweg, oder... http://forum.hijackthis.de/showthrea...oto=nextnewest http://www.tagesanzeiger.ch/dyn/digi...er/500087.html http://www.cexx.org/newnet.htm und selbst Microsoft verweist zu den Seiten des Herstellers. Auch komisch, aber scheint doch so zu sein http://support.microsoft.com/default...N-US%3Bq302463 |
03.08.2005, 22:09 | #12 | |
| Seltsame .exe die meine Platte vollschreibt Viele ander Foren sind auf dem Holzweg! Ich zitiere nochmal: Zitat:
__________________ Only cronos endures |
03.08.2005, 22:13 | #13 | |
| Seltsame .exe die meine Platte vollschreibtZitat:
Es ist natürlich durchaus möglich, dass die .exe nur das macht, was sie verspricht, aber kann man das vorhersehen? Ich halte es eben mit der Grundregel, dass man unseriöser Software nicht vertrauen kann bzw. darf! Deinstallationsroutinen von allgemein bekannten "Adware-Seiten" sind da keine Ausnahme. |
04.08.2005, 00:57 | #14 |
| Seltsame .exe die meine Platte vollschreibt Öhm...ich unterbreche ja nur ungern aber .... ist mein Rechner wieder gesund? Und was war es denn nun genau? Und, wie kann ich denn sowas in Zukunft verhindern?? Ich hatte meine Hausarbeit schon aufgegeben...Danke nochmals, habt mich gerettet! |
04.08.2005, 10:11 | #15 | |
| Seltsame .exe die meine Platte vollschreibt @ Chili tut mir leid du bist in der Diskussion ganz untergegangen. Dein Rechner ist noch nicht ganz so wie es vielleicht sein soll. Hast du in der Zwischenzeit schon SP2 aufgespielt? Wenn nicht solltest du das schnellstens nachholen. Lade dir eScan, lese die Anleitung genau, aber noch nicht scannen. (siehe meine Signatur) Boote in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und fixe noch folgende Einträge: O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\wx.cab lösche von Hand die Datei: c:\wx.cab überprüfe bitte die anderen O16 Eiträge ob sie dir bekannt sind wenn nicht dann mit fixen Scanne jetzt das System mit eScan und teile das Ergebnis mit Hilfe der find.bat (in der Anleitung unter [5] beschrieben) mit Neu booten neues HJT Zitat:
oder im Link von Cronos So um nochmal kurz auf das Thema einzugehen @ Cronos Auch wenn du nochmal zitierst, solltest du bitte auch meinen Post richtig durchlesen. Denn dort steht eigentlich nichts anderes. Nur wenn in der Systemsteuerung/Software nichts von Netnet oder Newdotnet steht, soll der User das Removal laden @ Haui Gegen deinen Grundsatz habe ich nichts einzuwenden, aber doch kann deine Meinung nicht ganz teilen, da erstens von den Machern der Seite cexx.org auf den Remover hingewiesen wird und auch Microsoft sich da anschliesst. Wohlbemerkt wenn nichts unter Software zu deinstallieren ist, denn sonst kommt das Tool ja garnicht zum Einsatz. Da ich die einzelnen Dateien und Regeinträge nicht kenne um sie von der Platte zu putzen muss ich doch in so einem Fall auf das Tool zurückgreifen |
Themen zu Seltsame .exe die meine Platte vollschreibt |
abend, ebene, einfach, festplatte, gelöscht, gestern, infiziert, isoliert, komplette, kompletten, löschen, mails, manuell, nicht löschen, nichts, platte, platz, platzt, quara, removal, sekunden, seltsame, thunderbird |