|
Merkwürdige Anstalten meiner Kiste Wenn ich falsch gepostet haben sollte, dann einmal verschieben, ich wußte nich wohin damit.... Ich kann mir nicht helfen *seufzt* Seit neuestem, wenn ich meine Kiste anschalte, bekomme ich ein Lachen zu hören, das sich so anhört als hätte ich Santa Claus auf meiner Festplatte verewigt!! HoHo hör ich, egal auf welche Webseite ich gehe, langsam nervt es, weil ich noch nicht mal Musik hören kann ohne das ich dieses Geräusch höre!! Anbei habe ich den HijackThis gemacht und hier gepostet, vielleicht kann mir jemand helfen, wäre klasse, ich verzweifel hier so langsam, weiß nimmer weiter *seufzt* Logfile of HijackThis v1.99.0 Scan saved at 12:32:24, on 26.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zero Knowledge\Freedom\Freedom.exe C:\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:80;gopher=192.168.0.3:80;http=192.168.0.3:80;https=192.168.0.3:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Freedom Popup Killer - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Programme\Zero Knowledge\Freedom\pkR.dll O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Programme\Zero Knowledge\Freedom\FreeBHOR.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Freedom] C:\Programme\Zero Knowledge\Freedom\Freedom.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://hoyle.vugames.com/cab/WONWebLauncherControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{94F3020D-93D2-4338-9AD1-34DC1C975FB2}: NameServer = 145.253.2.142,145.253.2.171 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe Ein dickes Dangäää schon mal im voraus, auch wenn keiner eine Antwort weiß... Grüßele Schatterl |
Zitat:
Etwas vergleichbares hatten wir schon mal - schlag mich ;), aber ich finde den Thread auf die Schnelle nicht wieder... |
*lacht* Nee, schlagen tu ich hier keinen :D Dafür bin ich zu friedlich :P Grüßele Schatterl |
Mmmmh, also der PopUp Killer is es nich, hab ihn gefixt, aber das Geräusch bleibt bestehen :confused: Mittlerweile ist auch noch ein zweites Geräusch hinzugekommen, das hört sich so an als würde einer irgendwas fotografieren, irgendwann schmeiss ich meine Kiste aus dem Fenster *grummel* Grüßele Schatterl |
so komisch es auch klingt.. es könnte ein trojaner die ursache des hohos sein^^ also gehe so vor: -lade dir escan runter und gehe genau nach dieser anleitung vor -wenn escan fertig ist, gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum |
Mhm, außer das Du Dein SunJava mal wieder aktualisieren könntest, fällt mir bei Deinem Log nichts auf. Aber dies hat nichts mit Deinem Problem zu tun. Kannst Du dies Zitat:
Zitat:
|
Das einzige, was ich die Tage installiert habe, war der Trillian, aber das Geräusch hab ich schon länger auf meinem Rechner, kein Adaware, SpyBot, Antivir oder HijackThis konnten mir bei meinem Problem helfen, im Moment rennt der escan durch, mal schauen, was der mir so erzählt :D |
So, hat etwas länger gedauert, man sollte auch lesen können *hust* Die Treffer : Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Scanning File C:\Programme\AVPersonal\INFECTED\CWSHREDDER.EXE.VIR File C:\Programme\HijackThis\backup-20041125-104022-121.dll infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\WONWebLauncherControl.ocx infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken. <- gehört zu Sierra, um online Backgammon zu spielen !! So, was muß ich nu machen?? Bitte nicht die Kiste platt machen... Grüßele Schatterl |
@Shadoweye nun, wenn du diese einträge wirklich brauchst um online zu spielen, File C:\Programme\HijackThis\backup-20041125-104022-121.dll infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\WONWebLauncherControl.ocx infected by "not-a-virus:AdWare.ToolBar.iWon.a" Virus. Action Taken: No Action Taken. <- gehört zu Sierra, um online Backgammon zu spielen !! dann kann man nichts machen. diese 2 dateien könntest du in den abgesicherten modus lmanuell löschen File C:\WINNT\Downloaded Program Files\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Ansonsten, kann es sein das jemand dich ein scherzprogramm untergejubelt hat? Oder hast du in den windows sounds etwas geändert.? chaosman |
Nee, ich ändere kaum etwas an meiner Kiste, wenn es nicht unbedingt sein muß!! Es heisst ja, never hit a running System ;) Wenn meine Kiste läuft, dann läuft sie, aber ich werd mal die Einträge löschen, vielleicht is es genau das, was die komischen Geräusche von sich gibt *grübel* Grüßele Schatterl |
Mmmh, vielleicht kann mir jemand dabei helfen, weiß nich was das ist, habe mir den Log vom escan noch mal angeschaut Scanning File C:\WINNT\system32\MSTask.exe Auch HJT sagt, das es eventuell Böse ist, aber an dem angegeben Pfad find ich solch einen Eintrag nich, höchstens MMTASK.TSK Scanning File C:\WINNT\system32\KILL.INI Scanning File C:\WINNT\system32\KILLAPPS.EXE File C:\WINNT\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. Damit kann ich mal überhaupt nix mit anfangen *kopfkratz* Vielleicht weiß ja jemand eine Antwort.. Grüßele Schatterl |
hi hey soundman kommt mir ganz verdächtig vor W32/Agobot-JS ist ein Wurm, der sich auf remote Freigaben mit einfachen Kennwörtern kopiert. Der Wurm kopiert sich als soundman.exe in den Windows-Systemordner. Damit er beim Start aktiviert wird, installiert er sich als Dienst namens "soundman" und erstellt die folgenden Registrierungseinträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\soundman = soundman.exe HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\soundman = soundman.exe schau in der regedit nach diesen einträgen und lösche sie gegebenenfalls, natürlich auch die soundman.exe :snyper: |
Hab den ersten Pfad ohne weiteres gefunden, nur Run Services hab ich unter Win2000 nich.... Bin noch am frimmeln, aber des Viech werd ich schon noch runter kriegen, wäre ja nich der erste *gg* Dangäää noch mal für deine Hilfe im Messi Don... Grüßele Schatterl |
Zitat:
Also bitte nicht voreilig löschen. Da W32/Agobot-JS nicht mehr der jüngste ist, würde eScan den imho sicher identifizieren.... |
Geh mal auf Systemsteuerung/Sound und Audiogeräte und schau nach, was da unter Soundschema eingestellt ist, gegebenenfalls stelle es auf "keine Sounds". Ich tippe darauf, dass es was mit Trillian zu tun hat, bzw. einer der Sounds ist, der zu dem Programm gehört. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board