Bitte um nochmale überprüfung!!!

wutentbrannt · 20.10.2004, 18:09

Hallo zusammen,

anbei nochmal ein aktuelles Log.
Ich weiß daß das SP2 noch fehlt, werd es noch nachholen!

Die automatische Auswertung ergab das folgende Böse....

C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\system32\slserv.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a896d8c5cbcbfa ae49a7377a7d2eb406430663d744f2cc88e56abb87acd7570ec3db2d7f42c49760d110d0a9e2a:05 ebe1d2cc8b9a2440c337c1b770adf2

dies hier evtl. böse
O16 - DPF: {064B603C-FA61-3E77-44E9-5C7D6BC0345F} - http://63.219.178.91/1/rdgDE1342.exe

und dies unbekannt ist,
O4 - HKLM\..\Run: [Olympic] c:\programmi\sgrunt\IE4321.exe

Bin mir aber nocht so recht sicher, ob ich das Fixen soll!!!

Logfile of HijackThis v1.98.2
Scan saved at 18:59:46, on 20.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\System32\RunDll32.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
F:\a2\a2guard.exe
F:\Programme\BTTray.exe
C:\WINNT\System32\rundll32.exe
F:\Programme\bin\btwdins.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\slserv.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis1982.zip\HijackThis.exe
F:\eMule\emule.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Olympic] c:\programmi\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winnrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [a²] "F:\a2\a2guard.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {064B603C-FA61-3E77-44E9-5C7D6BC0345F} - http://63.219.178.91/1/rdgDE1342.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...c337c1b770adf2
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093018372705
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

MountainKing · 20.10.2004, 18:51

C:\WINNT\system32\slserv.exe
Ignorieren, wenn du eine SIS-Grafikkarte hast.

Syncroad deinstallieren/fixen/löschen, die anderen Einträge ebenfalls fixen.

c:\programmi\sgrunt\IE4321.exe

diese Datei hier überprüfen: http://virusscan.jotti.org/de

dürfte aber ebenfalls zu fixen sein.
P.S.: Patches sind das Wichtigste, sollten eigentlich als erstes installiert werden, wenn du zwischendurch immer noch online bist.

wutentbrannt · 20.10.2004, 19:50

@ MountainKing

ich nehme an, ich soll die Bereinigung im abgesicherten Modus durchführen??

Was ist das eigentlch für ein Programm?
C:\WINNT\system32\slserv.exe

Gruß

Cidre · 20.10.2004, 19:58

Zitat:

SLServ.exe
(SmartLink) SmartLink’s User-Level Modem Service. This task runs on Windows NT4/2000/XP/2003 system

Quelle: http://answersthatwork.com/

btw: Mir ist kein Fall bekannt wo diese slserv.exe jemals als W32/Gaobot.CR identifiziert worden ist, ergo ist diese Beanstandung von Hijackthis.de eine Falschmeldung.

wutentbrannt · 20.10.2004, 20:00

@ Cidre,

kann es sein, daß es etwas mit einem alten analog Modem zu tun hat??

Cidre · 20.10.2004, 20:52

Möglicherweise. Überprüfe mal im Geräte-Manager ob dort unter Modems ein Eintrag vorhanden ist.

20.10.2004, 20:52	#6
Cidre Administrator, a.D.	Bitte um nochmale überprüfung!!! Möglicherweise. Überprüfe mal im Geräte-Manager ob dort unter Modems ein Eintrag vorhanden ist. __________________ --> Bitte um nochmale überprüfung!!!

Bitte um nochmale überprüfung!!!

Log-Analyse und Auswertung: Bitte um nochmale überprüfung!!!