|
Zitat:
Cobra |
Hallo nochmal, ich war zwischzeitlich beim andaurnden Neustarten. Das mit dem Sp2 ist sicher gut, aber wo kriegt man den genau her? über Windows-update ist da nichts zu machen, weil man da von einer Seite auf die nächste gelangt und am Ende ist man wieder bei windows-update. Ich täte das sehr gern, wenn ich einen link habe, auf den ich klicke und downloade. Meinen post mit meinem scan finde ich nicht mehr. Weisst Du Rat? Und noch einen Rat brauche ich: wie schon vorher geschildert, kommt ständig eine Anzeigee, wie gerade wieder ("always on top") "Service Affichage des messages" (ich habe die französische Version. Der Text bedeutet Message-Anzeigedienst) "Message from "FROM" to "TO", dann kommt das genaue Datum und die Uhrzeit. Dann weiter: "STOP!WINDOWS REQUIRES IMMIDIATE ATTENTION Windows has found ....... To rid your computer ... 1. Download eAntiSpy from: www.pcfixusa.com 2. Install 3. Run... 4. Reboot. FAILURE TO ACT NOW MAY LEAD TO DATA CORRUPTION AND LOSS OF PERSONAL INFORMATION! Dann der "OK" Kasten. Wo steckt dieser Wurm? Wie kriegt man den weg? Dauerhaft?? Ist das "sys32.pif", den ich einfach nicht wegbekomme? Gruss Jochen |
Zitat:
Gruss Jochen |
Oben in diesem Thread, auf Seite 1. Ist ja auch nichts schlimmes, poste es einfach hier nochmal. Cobra PS: "es": Hijackthis-log |
Zitat:
Gruss aus Tunesien Jochen Logfile of HijackThis v1.99.1 Scan saved at 17:19:37, on 18/09/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\inetsrv\DavCData.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\a2\a2guard.exe C:\PROGRA~1\INCRED~1\bin\ImApp.exe C:\Program Files\Grisoft\AVG Free\avgemc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Program Files\Grisoft\AVG Free\avgcc.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\Jap\jap.exe C:\Program Files\Java\j2re1.4.2_06\bin\javaw.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\sys32.pif C:\Program Files\Fichiers communs\Windows\services32.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Fichiers communs\services.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Fichiers communs\services.exe C:\WINDOWS\System32\dwwin.exe C:\Documents and Settings\@\Bureau\hijackthis_199\HijackThis.exe C:\Program Files\Fichiers communs\Windows\AutoIt3.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alltheweb.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Program Files\DNS\Catcher.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [TrojanCheck Autostart] C:\Program Files\Trojancheck5\tc.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe" O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .bcf: C:\PROGRA~1\INTERN~1\Plugins\NPBelv32.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1125954929281 O17 - HKLM\System\CCS\Services\Tcpip\..\{75462BA6-5CAC-49AF-ACF0-CDA512DF8A3C}: NameServer = 193.95.122.40 193.95.93.77 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe |
Hi Jochen, Du mußt Dich nicht entschuldigen. Du wusstest es nicht besser, ebensowenig wie Cotton. Hauptsache, ihr lernt daraus. ;) Dein Log ist wohl nicht sauber, denke ich: C:\WINDOWS\System32\sys32.pif Außerdem bist Du immer noch mit SP1 unterwegs. Ohje. Die Experten für solche Fälle rücken gleich nach. :) Cobra |
Zitat:
man lernt nie aus, sicher ich auch nicht. Danke für die vorläufige Hilfe. Und die Experten werden mir sicher verraten, wo ich den Sp2 auf Knopfdruck bekomme, ich habe Odysseen hinter mir. Was ist eigentlich mit der letzten Zeile in meinem Scan:"SystemStartupService". Weil ich immer diese Zettel bekomme, die sich wohl darauf beziehen. Danke für alles; Und wenn Du mal nach Tunesien kommst, melde Dich. email genügt. Gruss Jochen |
Zitat:
Zitat:
C:\Program Files\Fichiers communs\Windows\services32.exe C:\Program Files\Fichiers communs\services.exe Diese Dateien ebenfalls überprüfen. Beende bitte vor dem Hochladen die jeweils laufenden Prozesse in HijackThis (in HjT-> Mic Tools Section-> Open process manager-> Prozesse bei gedrückter "Strg-Taste" auswählen und "Kill process" anklicken-> Warnmeldung mit "Ja" beantworten.) Dann das Ergebnis der drei Dateien mittels "copy&paste" posten. BTW: Hast du vorhin schon etwas in HjT gefixt? *EDIT* Hi cacatoa :) |
Hallo, Jochen, bei dem was ich grad in Deinem Logfile sehe, möchte ich gerne Sicherheit haben. Deshalb bitte einen eScan genau nach Anleitung durchführen und das Ergebnis posten. Freunde dich schon mal mit dem Gedanken an, Dein System evtl. neu aufzusetzen. Aber wie gesagt - erst mal den eScan machen (dauert ca. eine Stunde) cacatoa edit: Servus Haui! :party: |
Hallo Haui45, das habe ich erledigt. Nur 3 sagen, es handele sich um einen Trojaner, sie haben allerdings verschiene Namen gegeben: Dr.Web: Downloader 3926 Kaspersky:Maxifiles h VBH 32: Maxifiles h Was nun? Ich habe AVG laufen und den alten Trojancheck 5 1. Soll ich den Kaspersky runterladen? 2. by the way: diese *.pif file werde ich nicht los. Ich habe ihn in der registry gelöscht, aber beim nächsten online-Gang ist er wieder da. Es muss doch möglich sein, dem irgendwie den Eintritt zu verwehren!!! Und 3. Und letzte Frage: Wie komme ich an Sp2 ran? Ich werde von einer auf die nächste Seite verwiesen und komme wieder da an, wo ich loslief: Microsoft update. Ich sehe, Du hast eine Schwäche für Katzen: hier ein Spruch: Wenn Du Mâuse fangen willst ist die Fellfarbe der Katze nebensächlich. Gruss aus Tunesien Jochen |
Poste bitte für alle drei Dateien die jeweiligen Ergebnisse: Zitat:
|
Da muss ich nochmal scannen |
Hallo Haui45, bei mir geht überhaupt nichts mehr. Ich lade gerade das scan-Programm runter und hoffe, dass ich damit klarkommer. Trotz AVG habe ich den "Sasser" bekommen, d.h. ich 60 Sekunden bis zum nächsten Mal. Bitte, wo bekomme ich den Sp2 her? Was Deine letzte Frage betrifft: Die 3 entdeckten Würmer hatte ich genannt. Soll ich einen neuen Scan machen? Gruss Jochen +++ ich bin bald am Ende |
Du solltest einen neuen Scan machen und die Ergebnisse posten. Du kannst auch eScan ausführen und die Ergebnisse posten. Oder du setzt das System gleich nach dieser Anleitung neu auf. |
starte mal in den abgesichtern modus Hilfe mit deaktivierter Systemwiederherrstellung. da kannste dann auch das *.pif file killen. BTW dabei kannste dann auch gleich den Escan machen. hier kannste des SP2 dloaden, oder kostenlos bestellen. http://www.microsoft.com/athome/secu...p/Default.mspx. Beim WIndowsupdate musste nur ganz link klicke, da kann man des SP2 auch irgendwoe runterladen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board