seit3 Tagen neu aufgesetzt und schon wieder `n geiles LOG!

Snack · 08.11.2004, 16:54

schaut mal bitte mein sys ist 3 Tage alt *heul*

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\cFos\cFosDNT.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Brain\LOKALE~1\Temp\Rar$EX00.235\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WM_LOGIN] C:\Programme\McAfee\McAfee Firewall\\MSGLOGIN.EXE
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [Windows Compliant] szsrqy.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\RunServices: [Windows Compliant] szsrqy.exe
O4 - HKCU\..\Run: [Windows Compliant] szsrqy.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] E:\eMule\emule.exe -AutoStart
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm

steveman · 08.11.2004, 16:55

hallo

das solltest du fixen:

O4 - HKLM\..\Run: [Windows Compliant] szsrqy.exe

O4 - HKLM\..\RunServices: [Windows Compliant] szsrqy.exe

O4 - HKCU\..\Run: [Windows Compliant] szsrqy.exe

hole dir escan und lasse den im abgesicherten modus scannan. poste was er gefunden hat.

Yopie · 08.11.2004, 16:59

Herzlichen Glückwunsch!

Hast Du Dich an die Anleitungen gehalten?
http://board.protecus.de/showtopic.p...me=1097944155&
http://www.trojaner-board.com/showpo...85&postcount=3

Gruß

Yopie

Haui45 · 08.11.2004, 17:00

DAs Logfile ist nicht komplett

Zitat:

O4 - HKLM\..\Run: [Windows Compliant] szsrqy.exe

schaut schwer nach Malware aus, google findet nichts, scanne mal deinen PC mit eScan im abgesicherten Modus.
Wie schaffst du das bitte in drei Tagen?
Surfverhalten überdenken!!
Lesen: http://www.mathematik.uni-marburg.de...ompromise.html

PS.: ich verstehs einfach nicht

Lidius · 08.11.2004, 17:05

Vorallem solltest du erstmal nen komplettes log posten

Snack · 08.11.2004, 17:05

Danke erst mal an beide natürlich habe ich mich dran gehalten
-neuinstallation
-win2k updates
-firefox
-Kaspersky geladen und ......
beep you are the winner!

habe natürlich nur meine Partition mit dem sys formatiert die anderen kann ich nicht da würde mein herz bluten aber da muss wohl irgendwas versteckt sein. *grrrrr*

mach erst mal den e scan

Snack

Snack · 08.11.2004, 17:07

Surfverhalten? ich habe doch nur die updates draufgezogen .... ich verstehe es doch selber nicht...

Snack · 08.11.2004, 17:09

hier nochmal

Logfile of HijackThis v1.98.2
Scan saved at 17:16:20, on 08.11.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\cFos\cFosDNT.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WM_LOGIN] C:\Programme\McAfee\McAfee Firewall\\MSGLOGIN.EXE
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] E:\eMule\emule.exe -AutoStart
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE6F5D8C-99C1-4A01-B4B0-DAA6D714036F}: NameServer = 217.237.150.141 217.237.150.97

Haui45 · 08.11.2004, 17:09

Zitat:

-neuinstallation
-win2k updates
-firefox
-Kaspersky geladen und.....

wie schon oft genug erwähnt: Sicherheit kann man nicht installieren!!!

unbedingt Surfverhalten überdenken, nicht alles installieren keine unbekannten Mailanhänge öffnen usw.....

btw. weder OS noch IE sind auf dem aktuellen Stand.

Yopie · 08.11.2004, 17:11

Zitat:

Zitat von Snack

mach erst mal den e scanSnack

Gut. Sag dann mal, was es ist, dann kann man Dir wahrscheinlich auch sagen, was Du falsch gemacht hast.

BTW: Norton und Kaspersky zusammen? McAffe auch noch? "Viel hilft viel" ist hier aber falsch! Von Norton stand aber in den Anleitungen wahrscheinlich nichts, oder?

Außerdem: Win2k veraltet, IE veraltet. Hast Du das mit den Updates geträumt?

Gruß

Yopie

Lidius · 08.11.2004, 20:00

Wie passt:

-neuinstallation
-win2k updates
-firefox
-Kaspersky geladen und..

und das:

Logfile of HijackThis v1.98.2
Scan saved at 17:16:20, on 08.11.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

bitte zusammen? Du hast nicht alle Updates für Windows 2000 und den IE installiert, Win2k hat mittlerweile SP4, der IE SP1. So ist das kein wunder wenn du dir wieder was einfängst.

charlie1 · 08.11.2004, 20:48

Guten Abend, so schlimm sieht es doch gar nicht aus.
Mach die Updates noch, firefox hast du ja schon.
C:\Programme\Mozilla Firefox\firefox.exe,
mit Emule musst du so halt leben, wenn du es benutzt, da kann immer was nach hinten losgehen und gut ist es.
LG, Charlie

chaosman · 08.11.2004, 21:50

@Snack

diese 2 würde ich in abgesicherten modus fixen
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

der rest haben dir die anderen schon gepostet, so schlimm sieht es wirklich nicht aus

chaosman

08.11.2004, 16:59	#3
Yopie Moderator, a.D.	seit3 Tagen neu aufgesetzt und schon wieder `n geiles LOG! Herzlichen Glückwunsch! Hast Du Dich an die Anleitungen gehalten? http://board.protecus.de/showtopic.p...me=1097944155& http://www.trojaner-board.com/showpo...85&postcount=3 Gruß Yopie __________________

seit3 Tagen neu aufgesetzt und schon wieder `n geiles LOG!

Log-Analyse und Auswertung: seit3 Tagen neu aufgesetzt und schon wieder `n geiles LOG!