| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ich hab die Pest an Board...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.12.2005, 21:25
| #1 |
| |  Ich hab die Pest an Board... Hallo zusammen, seit einiger Zeit hab ich auf meinem Desktop eine "Linkleiste" siehe Anhang. Dieser Mist läßt sich nicht deaktivieren. Ich hab schon AdAware drüberlaufenlassen - nichts. Das Logfile von HijackThis sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 21:14:20, on 01.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE E:\PROGRAMME\AVPERSONAL\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\Programme\Norton Ghost 2003\GhostStartService.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\WINDOWS\System32\nvsvc32.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe E:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\svchost.exe D:\Hardware\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\wdfmgr.exe E:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\GEMEIN~1\Logitech\WebColct\WebColct.exe D:\Downloads\Hijach this\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_05\bin\jusched.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - h**ps://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {156BF4B7-AE3A-4365-BD88-95A75AF8F09D} (HPSDDX Class) - h**p://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/054b14920cb8b9d67e22/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106164351187 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{351EBC0F-768A-4D53-8B20-8465008D19E9}: NameServer = 85.255.114.62 85.255.112.109 O17 - HKLM\System\CS1\Services\Tcpip\..\{351EBC0F-768A-4D53-8B20-8465008D19E9}: NameServer = 85.255.114.62 85.255.112.109 O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GhostStartService - Symantec Corporation - E:\Programme\Norton Ghost 2003\GhostStartService.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe Die Punkte O17 und O18 hab ich schon zigmal gefixt. Sie kommen immer wieder. Hat irgendjemand eine Ahnung wie man dieses penetrante Zeug wieder entfernt???  Danke schon mal im voraus Stefan |
|
01.12.2005, 21:41
| #2 |
  |  Ich hab die Pest an Board...__________________ |
|
01.12.2005, 21:48
| #3 |
| | Ich hab die Pest an Board... Ich hab das Proggie drüberlaufen lassen...aber wo ist das LOG-File???
__________________ |
|
01.12.2005, 21:55
| #4 |
| | Ich hab die Pest an Board... Hallo, normalerweise müßte sie an dem selben Platz wie die blbeta.exe sein, die Datei müßte etwa wie fsbl...log aussehen. Grüße Wildone |
|
01.12.2005, 22:06
| #5 |
| | Ich hab die Pest an Board... Na da isses ja: 12/01/05 22:05:22 [Info]: BlackLight Engine 1.0.25 initialized 12/01/05 22:05:22 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/01/05 22:05:22 [Note]: 4019 4 12/01/05 22:05:22 [Note]: 4005 0 12/01/05 22:05:24 [Note]: 4006 0 12/01/05 22:05:24 [Note]: 4011 1180 12/01/05 22:05:25 [Note]: FSRAW library version 1.7.1013 12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\WBEM\WBEMTEST.EXE 12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\PPPCGM.EXE 12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\IDEMLOG.EXE 12/01/05 22:05:31 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DMHGD.EXE 12/01/05 22:05:31 [Note]: 4002 32 12/01/05 22:05:31 [Note]: 4003 1 12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\CSUOG.EXE 12/01/05 22:05:32 [Note]: 4002 32 12/01/05 22:05:32 [Note]: 4003 1 12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\HOWIPER.EXE 12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\FAVSET.EXE 12/01/05 22:05:32 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\FILESA~1.EXE 12/01/05 22:05:42 [Note]: 4007 0 Grüße Stefan |
|
01.12.2005, 22:14
| #6 |
| | Ich hab die Pest an Board... Hallo, also bei Rootkitbefall tendiere ich zum Neuaufsetzen des Systems, Anleitung gibts hier, wenn du sie ordentlich umsetzt solltest du zukünftig ein sicheres System haben bei dem sowas nicht mehr vorkommt. Grüße Wildone |
|
| Themen zu Ich hab die Pest an Board... |
| adobe, antivir, bho, computer, dateien, desktop, entfernt?, excel, explorer, heulen, hijack, hijackthis, internet, internet explorer, logfile, microsoft, nvidia, object, programme, rundll, shockwave, software, symantec, system, system32, update, windows, windows xp |
Linear-Darstellung
