antivir+zoneallarm nach install. weg

klappi24 · 15.01.2008, 19:54

hallole.

bei meinem freund ist auf dem pc so einiges los. bzw. nicht mehr.

hoffe ihr könnt uns helfen.

er hat das programm mp3 cutter installieren wollen. doppelklick. danach plötzlich antivir , zonealarm einfach weg. werden nicht mehr gefunden.
auch die internetverbindung war sofort weg.

tune up bleibt sofort nach scanstart hängen.

wäre klasse wenn ihr ihm/uns weiterhelfen könntet. schaut es euch mal kurz an.

hier das log :

Logfile of HijackThis v1.99.1
Scan saved at 19:31:07, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\utility.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mr. Brown\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

danke grüßle zusammen

KarlKarl · 15.01.2008, 21:00

Hi,

wo hat er denn dieses Programm her?

Blacklight scannen lassen

Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
Klicke "I accept the agreement", "next", "Scan".
wenn der Scan zuende ist, wähle "Close".
Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Gruß, Karl

klappi24 · 15.01.2008, 21:35

programm aus netz geladen.

sorry dauert immer. müssen von einem haus zum nächsten rennen. von pc zu pc :-) hier das log .

01/15/08 21:15:05 [Info]: BlackLight Engine 1.0.67 initialized
01/15/08 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/15/08 21:15:06 [Note]: 7019 4
01/15/08 21:15:06 [Note]: 7005 0
01/15/08 21:16:14 [Note]: 7006 0
01/15/08 21:16:14 [Note]: 7011 1644
01/15/08 21:16:18 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7024 3
01/15/08 21:16:21 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:16:25 [Note]: FSRAW library version 1.7.1024
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:18:05 [Info]: Hidden file: c:\Programme\Skype\Toolbars\Shared\SPhoneParser.dll
01/15/08 21:18:05 [Note]: 10002 3
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:25:00 [Note]: 2000 1012
01/15/08 21:26:28 [Note]: 7007 0

cosinus · 15.01.2008, 21:38

Auch hier will ich die Quelle des angeblichen mp3 cutter lieber nicht wissen. Wahrscheinlich war ein "esel" am Werk

aber sieht sehr nach rootkit aus:

Zitat:

01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys

Also Platte flachmachen und Windows neu rauf.

klappi24 · 15.01.2008, 21:46

programm aus netz geladen.

sorry dauert immer. müssen von einem haus zum nächsten rennen. von pc zu pc :-) hier das log .

01/15/08 21:15:05 [Info]: BlackLight Engine 1.0.67 initialized
01/15/08 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/15/08 21:15:06 [Note]: 7019 4
01/15/08 21:15:06 [Note]: 7005 0
01/15/08 21:16:14 [Note]: 7006 0
01/15/08 21:16:14 [Note]: 7011 1644
01/15/08 21:16:18 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7024 3
01/15/08 21:16:21 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:16:25 [Note]: FSRAW library version 1.7.1024
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:18:05 [Info]: Hidden file: c:\Programme\Skype\Toolbars\Shared\SPhoneParser.dll
01/15/08 21:18:05 [Note]: 10002 3
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:25:00 [Note]: 2000 1012
01/15/08 21:26:28 [Note]: 7007 0

cosinus · 15.01.2008, 21:48

Zitat:

programm aus netz geladen.

Quelle: Internet. Da wär ich jetzt nicht drauf gekommen.

klappi24 · 15.01.2008, 21:49

boaa nee . scheiße.

andere möglichkeiten ?

optionen ????????????????

grüßle und anke für die schnelle Antwort

cosinus · 15.01.2008, 21:51

Nee iss schon klar. Weils so viele andere Möglichkeiten außer Flach- und Neumachen gibt, hab ich sie ja auch in unsichtbaren Bits geschrieben.

Übrigens ich glaub deine Tastatur ist auch defekt, da scheinen die shift und ? Taste zu klemmen.

KarlKarl · 15.01.2008, 23:31

Bagle: Neinstallieren sehr dirngend empfohlen. Die schädlichen Dateien lassen sich zwar entfernen, die sehr schwerewiegenden Schäden, die sie am System hinterlassen haben, aber eher nicht.

15.01.2008, 21:51	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	antivir+zoneallarm nach install. weg Nee iss schon klar. Weils so viele andere Möglichkeiten außer Flach- und Neumachen gibt, hab ich sie ja auch in unsichtbaren Bits geschrieben. Übrigens ich glaub deine Tastatur ist auch defekt, da scheinen die shift und ? Taste zu klemmen. __________________ Logfiles bitte immer in CODE-Tags posten

15.01.2008, 23:31	#9
KarlKarl /// Helfer-Team	antivir+zoneallarm nach install. weg Bagle: Neinstallieren sehr dirngend empfohlen. Die schädlichen Dateien lassen sich zwar entfernen, die sehr schwerewiegenden Schäden, die sie am System hinterlassen haben, aber eher nicht.

antivir+zoneallarm nach install. weg

Log-Analyse und Auswertung: antivir+zoneallarm nach install. weg