Zitat:

Zitat von hakim

... und wie kommt's, dass mein post plötzlich nicht mehr da ist? Langsam bekomme ich Alpträume. Wer hzt den gelöscht???

Ich. Die Gründe erfährst Du in diesem Thread, wenn Du einmal nach oben schaust.

Cobra

Hallo nochmal,

ich war zwischzeitlich beim andaurnden Neustarten. Das mit dem Sp2 ist sicher gut, aber wo kriegt man den genau her? über Windows-update ist da nichts zu machen, weil man da von einer Seite auf die nächste gelangt und am Ende ist man wieder bei windows-update. Ich täte das sehr gern, wenn ich einen link habe, auf den ich klicke und downloade.
Meinen post mit meinem scan finde ich nicht mehr. Weisst Du Rat?
Und noch einen Rat brauche ich: wie schon vorher geschildert, kommt ständig eine Anzeigee, wie gerade wieder ("always on top")

"Service Affichage des messages" (ich habe die französische Version. Der Text bedeutet Message-Anzeigedienst)

"Message from "FROM" to "TO", dann kommt das genaue Datum und die Uhrzeit. Dann weiter: "STOP!WINDOWS REQUIRES IMMIDIATE ATTENTION

Windows has found .......
To rid your computer ...

1. Download eAntiSpy from: www.pcfixusa.com
2. Install
3. Run...
4. Reboot.

FAILURE TO ACT NOW MAY LEAD TO DATA CORRUPTION AND LOSS OF PERSONAL INFORMATION!

Dann der "OK" Kasten.

Wo steckt dieser Wurm? Wie kriegt man den weg? Dauerhaft??

Ist das "sys32.pif", den ich einfach nicht wegbekomme?

Gruss Jochen

Zitat:

Zitat von Cobra

Ich. Die Gründe erfährst Du in diesem Thread, wenn Du einmal nach oben schaust.

Cobra

Wo ist bei Dir "oben"? Sei nicht böse, aber erklär mir das mal, ich finde "oben" nichts. Danke.
Gruss Jochen

Oben in diesem Thread, auf Seite 1. Ist ja auch nichts schlimmes, poste es einfach hier nochmal.

Cobra

PS: "es": Hijackthis-log

Zitat:

Zitat von Cobra

Oben in diesem Thread, auf Seite 1. Ist ja auch nichts schlimmes, poste es einfach hier nochmal.

Cobra

PS: "es": Hijackthis-log

Hallo Cobra, hier ist der sca. Und sorry fü die viele Mühe wg. ein paar Würmern.

Gruss aus Tunesien

Jochen

Logfile of HijackThis v1.99.1
Scan saved at 17:19:37, on 18/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\inetsrv\DavCData.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Program Files\Grisoft\AVG Free\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Jap\jap.exe
C:\Program Files\Java\j2re1.4.2_06\bin\javaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\sys32.pif
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Fichiers communs\services.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Fichiers communs\services.exe
C:\WINDOWS\System32\dwwin.exe
C:\Documents and Settings\@\Bureau\hijackthis_199\HijackThis.exe
C:\Program Files\Fichiers communs\Windows\AutoIt3.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alltheweb.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Program Files\DNS\Catcher.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [TrojanCheck Autostart] C:\Program Files\Trojancheck5\tc.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE
O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .bcf: C:\PROGRA~1\INTERN~1\Plugins\NPBelv32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1125954929281
O17 - HKLM\System\CCS\Services\Tcpip\..\{75462BA6-5CAC-49AF-ACF0-CDA512DF8A3C}: NameServer = 193.95.122.40 193.95.93.77
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Hi Jochen,

Du mußt Dich nicht entschuldigen. Du wusstest es nicht besser, ebensowenig wie Cotton. Hauptsache, ihr lernt daraus.

Dein Log ist wohl nicht sauber, denke ich:

C:\WINDOWS\System32\sys32.pif

Außerdem bist Du immer noch mit SP1 unterwegs. Ohje.

Die Experten für solche Fälle rücken gleich nach.

Cobra

Zitat:

Zitat von Cobra

Hi Jochen,

Du mußt Dich nicht entschuldigen. Du wusstest es nicht besser, ebensowenig wie Cotton. Hauptsache, ihr lernt daraus.

Dein Log ist wohl nicht sauber, denke ich:

C:\WINDOWS\System32\sys32.pif

Außerdem bist Du immer noch mit SP1 unterwegs. Ohje.

Die Experten für solche Fälle rücken gleich nach.

Cobra

Hallo Cobra,

man lernt nie aus, sicher ich auch nicht.
Danke für die vorläufige Hilfe. Und die Experten werden mir sicher verraten, wo ich den Sp2 auf Knopfdruck bekomme, ich habe Odysseen hinter mir.
Was ist eigentlich mit der letzten Zeile in meinem Scan:"SystemStartupService". Weil ich immer diese Zettel bekomme, die sich wohl darauf beziehen.

Danke für alles; Und wenn Du mal nach Tunesien kommst, melde Dich. email genügt.

Gruss
Jochen

Zitat:

C:\WINDOWS\System32\sys32.pif

Das schaut für mich nach einem Netzwerkwurm aus. Bitte den Prozess beenden und die Datei auf http://virusscan.jotti.org/de überprüfen.

Zitat:

C:\Program Files\Fichiers communs\Windows

Der Pfad irritiert mich schon ein wenig.
C:\Program Files\Fichiers communs\Windows\services32.exe
C:\Program Files\Fichiers communs\services.exe
Diese Dateien ebenfalls überprüfen.

Beende bitte vor dem Hochladen die jeweils laufenden Prozesse in HijackThis (in HjT-> Mic Tools Section-> Open process manager-> Prozesse bei gedrückter "Strg-Taste" auswählen und "Kill process" anklicken-> Warnmeldung mit "Ja" beantworten.)

Dann das Ergebnis der drei Dateien mittels "copy&paste" posten.


BTW: Hast du vorhin schon etwas in HjT gefixt?


*EDIT*
Hi cacatoa

Hallo, Jochen,
bei dem was ich grad in Deinem Logfile sehe, möchte ich gerne Sicherheit haben.
Deshalb bitte einen eScan genau nach Anleitung durchführen und das Ergebnis posten.
Freunde dich schon mal mit dem Gedanken an, Dein System evtl. neu aufzusetzen.
Aber wie gesagt - erst mal den eScan machen (dauert ca. eine Stunde)
cacatoa

edit: Servus Haui!

Hallo Haui45,

das habe ich erledigt. Nur 3 sagen, es handele sich um einen Trojaner, sie haben allerdings verschiene Namen gegeben:
Dr.Web: Downloader 3926
Kaspersky:Maxifiles h
VBH 32: Maxifiles h

Was nun?

Ich habe AVG laufen und den alten Trojancheck 5

1. Soll ich den Kaspersky runterladen?

2. by the way: diese *.pif file werde ich nicht los. Ich habe ihn in der registry gelöscht, aber beim nächsten online-Gang ist er wieder da. Es muss doch möglich sein, dem irgendwie den Eintritt zu verwehren!!!

Und 3. Und letzte Frage: Wie komme ich an Sp2 ran? Ich werde von einer auf die nächste Seite verwiesen und komme wieder da an, wo ich loslief: Microsoft update.

Ich sehe, Du hast eine Schwäche für Katzen: hier ein Spruch: Wenn Du Mâuse fangen willst ist die Fellfarbe der Katze nebensächlich.

Gruss aus Tunesien

Jochen

Poste bitte für alle drei Dateien die jeweiligen Ergebnisse:

Zitat:

File: File.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.36 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.77 seconds taken)
BitDefender No viruses found (0.48 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web No viruses found (0.82 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.42 seconds taken)
Kaspersky Anti-Virus No viruses found (0.99 seconds taken)
mks_vir No viruses found (0.24 seconds taken)
NOD32 No viruses found (0.49 seconds taken)
Norman Virus Control No viruses found (1.20 seconds taken)

Da muss ich nochmal scannen

Hallo Haui45,

bei mir geht überhaupt nichts mehr. Ich lade gerade das scan-Programm runter und hoffe, dass ich damit klarkommer.
Trotz AVG habe ich den "Sasser" bekommen, d.h. ich 60 Sekunden bis zum nächsten Mal.
Bitte, wo bekomme ich den Sp2 her? Was Deine letzte Frage betrifft: Die 3 entdeckten Würmer hatte ich genannt. Soll ich einen neuen Scan machen?

Gruss

Jochen +++ ich bin bald am Ende

Du solltest einen neuen Scan machen und die Ergebnisse posten.
Du kannst auch eScan ausführen und die Ergebnisse posten.
Oder du setzt das System gleich nach dieser Anleitung neu auf.

starte mal in den abgesichtern modus Hilfe mit deaktivierter Systemwiederherrstellung.
da kannste dann auch das *.pif file killen. BTW dabei kannste dann auch gleich den Escan machen.
hier kannste des SP2 dloaden, oder kostenlos bestellen. http://www.microsoft.com/athome/secu...p/Default.mspx. Beim WIndowsupdate musste nur ganz link klicke, da kann man des SP2 auch irgendwoe runterladen.