|
Log-Analyse und Auswertung: messenger plus 3 - toolbar oben und untenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.10.2004, 02:43 | #1 |
| messenger plus 3 - toolbar oben und unten hallo leute, ich habe leider messenger plus installiert und damit auch diese nervige zusatzspyware. ich gebe euch mal meine hijackthis-logfile: Logfile of HijackThis v1.98.2 Scan saved at 00:42:43, on 12.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\WINDOWS\System32\qttask.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\RamCleaner\RamCleaner.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe C:\Programme\Nikon\NkView5\NkvMon.exe C:\Programme\Realtek\Rtl8180\RtlWake.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\XanArzu\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nahytluhmue.net/TikQhNM9CieP2...e1eT1SrRs.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [unabr] C:\WINDOWS\Help\SBSI\unabr.exe O4 - HKLM\..\Run: [Blue exit army internet] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ObjGlueBlueExit\fast regs.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q O4 - HKCU\..\Run: [RamCleaner] C:\Programme\RamCleaner\RamCleaner.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe O4 - Global Startup: RtlWake.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab O16 - DPF: {DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} (NSUpdateLiteCtrl Class) - http://204.177.92.201/quickdl/proclaim/NSupd9x.cab O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - http://209.123.150.11/SetID221/SysUpd.CAB Schaut mal bitte rein... |
26.10.2004, 06:59 | #2 |
| messenger plus 3 - toolbar oben und unten Hallo alien78,
__________________Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com. überprüfe mit dem online-scan von Kaspersky: C:\WINDOWS\system32\slserv.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe C:\Programme\RamCleaner\RamCleaner.exe C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe C:\WINDOWS\Help\SBSI\unabr.exe Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien, passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken): O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm wenn Du diese Seite nicht kennst/brauchst, gleichfalls fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://nahytluhmue.net/TikQhNM9CieP...ce1eT1SrRs.html O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - ht*p://216.82.66.200/build/preload.cab O16 - DPF: {DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} (NSUpdateLiteCtrl Class) - ht*p://204.177.92.201/quickdl/proclaim/NSupd9x.cab O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - ht*p://209.123.150.11/SetID221/SysUpd.CAB Boote in den normalen Modus. Beende sysupd.exe Lösche C:\WINDOWS\sysupd.exe Aktiviere die Systemwiederherstellung. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre). Erstelle ein neues Hijack This Logfile und poste es. -->(*) Anmerkung: Der Messenger Plus enthält Spyware. Es ist besser ein anderes Messenger-Programm zu installieren, wie zum Beispiel: Trillian SD |
Themen zu messenger plus 3 - toolbar oben und unten |
adobe, controlcenter, dateien, dll, drivers, einstellungen, explorer, help, hijack, ics, internet, internet explorer, messenger, microsoft, msn, msn messenger, programme, realplay.exe, realplayer, realtek, rundll, software, system, system32, windows, windows messenger, windows xp, windows\system32\drivers, write |