Huhuuu,

Hab meinen Rechner heute schön verseucht...hier mal mein HJT-log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 15:37:21, on 07.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dpmw32.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\VollEule\Eigene Dateien\Download\s_t_i_n_g_e_r.exe
C:\Dokumente und Einstellungen\VollEule\Eigene Dateien\Download\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = *mein proxy.de:80*
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = st.mw.tu-darmstadt.de
O17 - HKLM\Software\..\Telephony: DomainName = *eine.de domain*
O17 - HKLM\System\CCS\Services\Tcpip\..\{F364133D-C4A8-43C4-8855-F889407ADDD6}: NameServer = *2 IP Adressen*
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *eine.de domain*
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *eine.de domain*
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l86olij318o.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VG9uaSBHcm\f\command.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
         

Ich denke mal diese beiden verursachen die Schweinereien:

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l86olij318o.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\VG9uaSBHcm\f\command.exe (file missing)

Diese .dll will sich aber nicht killen lassen, auch nicht im abgesicherten Modus. Man kann da zwar ein Häkchen dran machen bei HJT, wenn man dann nochmal scannt ist der fiese Kram immer noch da, per Hand löschen ist auch net, ansonsten habe ich einige garstige exe's per Hand gelöscht, es fehlen wohl aber immer noch welche...HELP

PS: Wenn mir jetzt einer kommt, ich soll doch mal bitte SP2 installieren, dann kann ich net mal mehr drüber lachen !

Da ich jetzt das meiste durch habe, denke ich, sie sind über den Java/Real Updater reingekommen, kommt das hin ?!?

Hallo VollEule,

versuche es mal damit (l86olij318o.dll).

Start --> Ausführen --> services.msc --> OK --> Rechtsklick auf Command Service (cmdService) --> Eigenschaften --> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen --> Übernehmen
C:\WINDOWS\VG9uaSBHcm <-- Ordner löschen
und den Eintrag (wenn noch vorhanden) mit HJT fixen.

dartus

Huhuuu

VOLLTREFFER und versenkt , das dreckige %$§%&%$$$/%&%/& !!!

Besten Dank, dartus

Huhuuuu

So, nu läuft alles wieder (zumindest so wie vorher )

Aber mal ne andere Frage, als was wird diese Ad-Attacke denn eingestuft, ist das ein Trojaner oder einfach nur Adware? Ums auf den Punkt zu bringen, muss ich jetzt sämtliche Passwörter ändern, oder wie ???

Hallo VollEule,

hier ein Kurzbeschreibung --> http:/ /www.virenschutz.info/Look2Me-Spyware-Tutorials-28.html
Die Passwörter würde ich ändern.

dartus