|
</font><blockquote>Zitat:</font><hr />...Access.exe ist mit Sicherheit ein Dialer...</font>[/QUOTE]Hallo Christian, hast Du eine bessere Kristallkugel als ich, oder woher nimmst Du die Sicherheit, das es ein Dialer ist? ;) Demnach wäre es ja Zufall, dass das Löschen der Start.html erst nach beenden des Dialers funktionierte... :confused: Gruß, Lutz |
Ich hatte die access.exe und od-teen175.exe sowie od-teen108.exe vor einiger Zeit eingeschickt. Alle drei Dateien, haben sich ohne "Ok-Bestätigung" über der gleichen Website eingeschlichen. |
Die access Dateien werden nicht von AntiVir erkannt, auch nicht von Panda oder Norton!! Was diese Notepad Dateien im system32 Ordner angeht, ich hab die jetzt mal geöffnet, kompletten text gelöscht, gespeichert und schreibgeschützt. Seitdem versucht auch keine "access" Datei mehr nach außen zu senden. |
Ah gut das erklaert schon ein bisschen was ich hab mir nun die hier schon oft genannte behelfslösung mit den leeren schreibgeschützten dateien auch angeschafft werde trotzdem wohl auf n andren browser wie opera o.ä. umsteigen .. trotzdem bisher wusste keiner hier warum das [1] bzw [2] am prozess der access.exe hing oder warum die datei laut windows suchfunktion nicht auf dem pc existiert.... weder access.exe noch access[1].exe noch access[3].exe @lutz es kann schon ein dialer sein, der einfach auf die start.html zugreift noch ne andere sache nebenbei Dialer sind ja für uns DSL verwöhnte nicht mehr allzuinteressant, allerdings hab ich mal gehoert das es auch dialer gibt die bei DSL verbindungen funktionieren weiss da einer was genaueres dazu??? mfg Thomas |
</font><blockquote>Zitat:</font><hr />Original erstellt von Olo: trotzdem bisher wusste keiner hier warum ... warum die datei laut windows suchfunktion nicht auf dem pc existiert.... weder access.exe noch access[1].exe noch access[3].exe </font>[/QUOTE]Um es genauer zu sagen bräuchte man wohl selber so ein versifftes System :D kleiner Tipp: in der Standardeinstellung findet Windows nicht alle Dateien bzw. zeigt Windows nicht alles an. noch ein Tipp: nur weil ein Task mit einem bestimmten Namen startet, muß später keine Datei mit diesem Namen noch existieren. </font><blockquote>Zitat:</font><hr />Original erstellt von Olo: Dialer sind ja für uns DSL verwöhnte nicht mehr allzuinteressant, allerdings hab ich mal gehoert das es auch dialer gibt die bei DSL verbindungen funktionieren weiss da einer was genaueres dazu??? </font>[/QUOTE]1. Das Internet ist sehr sehr geduldig, im WWW wirst Du ALLES lesen können. 2. Mit DSL alleine funktioniert kein Dialer, allerdings gibt es "Dialer" welche für DSL-Nutzer gedacht sind. Damit musst du während der DSL-Sitzung per Telefon eine 0190er anrufen. Sollte man aber dann doch mitbekommen :D |
Hall Thomas, </font><blockquote>Zitat:</font><hr />es kann schon ein dialer sein, der einfach auf die start.html zugreift</font>[/QUOTE]Klar, ausschließen will ich gar nichts, aber warum sollte ein Dialer auf eine lokale html-Seite zugreifen wollen? 'Sinn' würde es doch imho nur machen, wenn die start.html versuchen würde, einen Dialer zu installieren und nicht andersherum. Gruß, Lutz |
Nunja Lutz ich hab mir die html nicht genau angeschaut allerdings ist es meiner meinung nach moeglich das der dialer seiten aus dieser html ausliest Kanns nicht sagen war eher ne vermutung hab noch nie n dialer geschriebn / im assembler angeschaut oder den source von sonem ding in die hände bekommen ist eigentlich auch nicht weiter wichtig... bin ma gespannt wie sich das ganze hier weiter entwickelt |
@ Thomas, im Grunde hast Du vollkommen Recht. Eigentlich ist's egal, was da wen aufruft und warum. 'Müll' ist's allemal. Poste uns doch mal ein Log von HiJackThis, vielleicht finden wir noch etwas 'verdächtiges'... Gruß, Lutz |
So da hammer das log : Logfile of HijackThis v1.97.7 Scan saved at 21:00:04, on 26.04.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\GEARSEC.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\regsvc.exe C:\WINDOWS\system32\MSTask.exe C:\WINDOWS\system32\stisvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\WINDOWS\System32\WBEM\WinMgmt.exe F:\Netprogramme\Messi\MsgPlus.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\internat.exe D:\CASIO-Loader\Plauto.exe F:\Netprogramme\ZoneAlarm\zapro.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Opera7\Opera.exe F:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [MessengerPlus2] "F:\Netprogramme\Messi\MsgPlus.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [svshosts] svshosts.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [Windows Explorer Update Build 1142] explorer32.exe O4 - HKLM\..\RunServices: [svshosts] svshosts.exe O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\SYSTEM32\SystemConfig.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MessengerPlus2] "F:\Netprogramme\Messi\MsgPlus.exe" /WinStart O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Photo Loader resident.lnk = D:\CASIO-Loader\Plauto.exe O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O4 - Global Startup: ZoneAlarm Pro.lnk = F:\Netprogramme\ZoneAlarm\zapro.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...054.0991435185 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex...te/sdkinst.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab edit: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html diesen wohl bekannten hier hab ich schon mal rausgenommen... von den anderen ist imho nur der letzte noch merkwürdig edit2: O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe naja 2 ma lesen is wohl besser [img]smile.gif[/img] -- fixed mfg [ 26. April 2004, 21:34: Beitrag editiert von: Olo ] |
Hallo, </font><blockquote>Zitat:</font><hr /> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm </font>[/QUOTE]finde ich sehr verdächtig! Im System-Ordner hat imho eine htm-Datei nichts zu suchen, es sei denn Du hättest sie dort angelegt! </font><blockquote>Zitat:</font><hr /> O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL</font>[/QUOTE]bitte fixen. Am besten im abgesicherten Modus von Win2000. Dies gilt übrigens für alle Fix-Maßnahmen. </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe </font>[/QUOTE]zumindest verdächtig: http://www.sophos.de/virusinfo/analyses/w32kwbota.html Da die Datei nicht gestartet wurde, evtl. ein Überbleibsel eines Wurms?!? Wenn Du die Datei findest, bitte einmal hier überprüfen: http://www.kaspersky.com/de/remoteviruschk.html Wenn infiziert dann löschen und den Eintrag fixen, wenn die Datei nicht (mehr) vorhanden ist, auch fixen. </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [svshosts] svshosts.exe </font>[/QUOTE]Hier gilt das gleiche, wie beim Eintrag drüber. Nur die Analyse von Sophos natürlich nicht. ;) </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunServices: [Windows Explorer Update Build 1142] explorer32.exe O4 - HKLM\..\RunServices: [svshosts] svshosts.exe </font>[/QUOTE]siehe oben! </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\SYSTEM32\SystemConfig.exe </font>[/QUOTE]noch mal siehe oben: Quelle: http://www.sophos.de/virusinfo/analyses/w32duloada.html </font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [internat.exe] internat.exe </font>[/QUOTE]evtl. verdächtig. Bitte auch überprüfen, bei Kaspersky, so vorhanden </font><blockquote>Zitat:</font><hr />O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O4 - Global Startup: Photo Loader resident.lnk = D:\CASIO-Loader\Plauto.exe O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe</font>[/QUOTE]Kenn ich nicht, kann aber durchaus harmlos sein </font><blockquote>Zitat:</font><hr />O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm </font>[/QUOTE]GetRight soll imho Spy-/Adware enthalten. Bin mir aber nicht ganz sicher, da ich den nicht benutze. </font><blockquote>Zitat:</font><hr /> O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/adv74/x.chm::/load.exe </font>[/QUOTE]Fixen und die Datei C:\nosuch.mht löschen, sofern vorhanden </font><blockquote>Zitat:</font><hr /> O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab </font>[/QUOTE]Verdächtig, im Zweifel fixen. Man o man, ist ja einiges zusammengekommen. :( Du solltest evtl. dein Download verhalten (Kazaa und Co) einmal überdenken. Und noch eine Frage: Hat es einen bestimmten Grund, dass Du das SP4 für Win2000 noch nicht installiert hast und wie sieht es mit anderen Windowsupdates aus? Wenn hier jemand zu formatieren und neumachen rät, werde ich nicht widersprechen. ;) Gruß, Lutz |
</font><blockquote>Zitat:</font><hr />R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm </font>[/QUOTE]datei gibts nicht werd den eintrag fixen den medialoads eintrag werd ich ebenfalls fixen zu allen unter 04 aufgeführten sachen lässt sich nur eins sagen : ehemaliger virus schlampig gelöscht *peinlichpeinlich* aber nichts dramatisches achja und die anderen programme gehören z.t. zum bildschirm nichts verdächtiges getright und spyware? hör ich zum ersten mal habs bisher nur empfohlen bekommen / nichts schlechtes drüber gehört kann ja mal die nächste zeit alle ohren und augen offenhalten was das angeht und die beiden unter 016 hab/werde ich noch fixen danke trotzdem fürs durchsehen nochmal edit: fast vergessen zu den updates und dem sp4 updates sind alle installiert warum kein sp4 gute frage werd ich auch noch machen frag mich grad selbst wieso noch net... |
</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): </font><blockquote>Zitat:</font><hr />O8 - Extra context menu item: Download with GetRight - F:\Netprogramme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - F:\Netprogramme\GetRight\GRbrowse.htm </font>[/QUOTE]GetRight soll imho Spy-/Adware enthalten. Bin mir aber nicht ganz sicher, da ich den nicht benutze.</font>[/QUOTE]Das war früher mal so; mittlerweile ist Getright aber wohl spywarefrei. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
</font><blockquote>Zitat:</font><hr />Das war früher mal so; mittlerweile ist Getright aber wohl spywarefrei.</font>[/QUOTE]OK - Danke für die Info! Wie gesagt ich benutze es selbst nicht. Gruß, Lutz |
Der Ordnung halber noch erwähnt: </font><blockquote>Zitat:</font><hr />O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL</font>[/QUOTE]Die Datei bitte auch löschen und nicht 'nur' fixen. Interessant wäre noch, ob und wenn ja, welche weiteren Dateien sich in diesem Verzeichnis befinden. Und eine Bitte hätte ich noch: Hältst Du uns bitte auch dann auf dem Laufenden, wenn dein Problem dauerhaft behoben werden konnte. Ich weiß manchmal nicht, ob die Hilfe ausreichend war, oder die Leute entnervt woanders nach Hilfe suchen, weil es hier nicht (auf Anhieb) geklappt hat. Danke!! Lutz |
Aaaalso erstmal zum MediaLoads/kazaa das ist denke ich ebenfalls wieder so ein alter vergammelter regkey werd mich moin ma drum kümmern so zum eigentlich problem wieder zurück : ich hab die beiden dummy dateien wie hier schon beschriebn schreibgeschuetzt und leer im windows ordner ( start.chm und start.html) wie gesagt n provisorium desweiteren den key der start.chm entfernt und dann nun die 3 einträge in HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\ ebenfalls entfernt. die waren für die hilfe dateien zuständig so erstmal zu sagen die startseite hat sich seitdem nicht geändert allerdings werde ich nun doch erstmal opera benutzen bis sich hier das ganze noch ein bissl mehr aufklärt und Lutz (und alle anderen natuerlich auch) ich find die art wie hier an solche sachen rangegangen wird super! also kann nur sagen weiter so |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board