|
Bitte Bitte Hilfe hallo zusammen, habe auf der rechten seite meines desktops so eine "tolle" leiste mit online pharmacy, gambling etc..... microsoft anti spyware findet nix........... bitte schaut euch mal mein hijack file an und sagt mir bitte was ich tun muss danke Logfile of HijackThis v1.99.1 Scan saved at 11:08:29, on 09.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\HHVcdV5Sys\VC5Play.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DayDisplay\DayDisplay.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\Programme\Helexis\Drive Health\dhcore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\Programme\Virtual CD v5\System\VC5Tray.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\HHVcdV5Sys\VC5SecS.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\MONIKA\Desktop\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DayDisplay] C:\Programme\DayDisplay\DayDisplay.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{2A104ED6-4A8F-470E-8513-602C77D14A0D}: NameServer = 85.255.114.67,85.255.112.13 O17 - HKLM\System\CS1\Services\Tcpip\..\{2A104ED6-4A8F-470E-8513-602C77D14A0D}: NameServer = 85.255.114.67,85.255.112.13 O17 - HKLM\System\CS2\Services\Tcpip\..\{2A104ED6-4A8F-470E-8513-602C77D14A0D}: NameServer = 85.255.114.67,85.255.112.13 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe O23 - Service: DriveHealth - Helexis Software Development - C:\Programme\Helexis\Drive Health\dhcore.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe |
Hallo, könnte übel sein, untersuche dein System mal mit F-Secure Blacklight und poste das Log (die Textdatei die im selben Pfad erstellt wird). Grüße Wildone |
hat anscheinend was gefunden! 12/09/05 11:41:18 [Info]: BlackLight Engine 1.0.29 initialized 12/09/05 11:41:18 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/09/05 11:41:18 [Note]: 7019 4 12/09/05 11:41:18 [Note]: 7005 0 12/09/05 11:41:21 [Note]: 7006 0 12/09/05 11:41:21 [Note]: 7011 1248 12/09/05 11:41:22 [Note]: FSRAW library version 1.7.1013 12/09/05 11:41:55 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 12/09/05 11:41:55 [Note]: 10002 1 12/09/05 11:41:56 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe 12/09/05 11:41:56 [Note]: 10002 1 12/09/05 11:41:57 [Info]: Hidden file: C:\WINDOWS\system32\csxan.exe 12/09/05 11:41:57 [Note]: 7002 32 12/09/05 11:41:57 [Note]: 7003 1 12/09/05 11:41:57 [Note]: 10002 1 12/09/05 11:41:57 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe 12/09/05 11:41:57 [Note]: 10002 1 12/09/05 11:42:01 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe 12/09/05 11:42:01 [Note]: 10002 1 12/09/05 11:42:02 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe 12/09/05 11:42:02 [Note]: 10002 1 12/09/05 11:42:04 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe 12/09/05 11:42:04 [Note]: 10002 1 12/09/05 11:42:05 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 12/09/05 11:42:05 [Note]: 10002 1 |
Hallo, also, da du ein Rootkit auf dem rechner hast tendiere ich dazu dir zu raten den Rechner neu aufzusetzen. Du solltest dir auch mal wirklich Gedanken über die Absicherung machen, das ist jetzt innerhalb der letzten drei Monate das zweite Mal das du eine schwerwiegende Infektion hast, das kommt wahrscheinlich davon das du dich auf Warezseiten rumtreibst, bzw. Programme von diesen ausführst. Hier ist eine Anleitung wie du beim Neuaufsetzen und nachfolgenden absichern vorgehen solltest. Grüße Wildone |
hi, waren 2 unterschiedliche pcs, auf denen ich die probleme hatte. auf diesem hier hab ich eigentlich immer brav alle updates ausgeführt. alles von microsoft, meinen virenscanneren, servicepack 2 etc....... aber naja, wenn du meinst, dass mir nichts anderes übrig bleibt, muss ich den wohl neu aufsetzen........ meinst du es gibt wenigstens eine möglichkeit diese leiste am desktop wegzubekommen??? also auch ohne aufsetzen??? lg |
Hallo, also die Leiste würde mir an deiner Stelle am wenigsten Sorgen machen, mehr Sorgen solltest du dir machen das im Moment alle Anfragen von dir an das Internet über einen Server in der Ukraine geleitet werden... Und nochmal, das hat wenig mit Systemaktualität zu tun, wenn man sich fragwürdige Programme auf den Rechner holt kann einen das aktuellste System und der beste Virenscanner davor nicht schützen. Auch möglich das es mit den Sicherheitsdeinstellungen des IE zu tun hat, und sich das Programm automatisch installieren konnte. Abhilfe schafft da nur IE besser konfigurieren (steht unter anderem auch in der Anleitung zum neu aufsetzen) oder ein alternativer Browser. Grüße Wildone |
hi, kann schon sein, dass das am IE liegt, denn ich habe (zumindest nicht wissentlich) kein fragwürdiges programm installiert.......... wie gesagt, würde trotzdem gern mal diese leiste weg bekommen, wenn das geht...... da ich den pc zum neu aufsetzen wohl meinem schwiegervater geben werde und der muss nicht unbedingt diese online pharmacy, xxx-vids leiste sehen *g* ich weiß es ist lächerlich, aber trotzdem *g* also, wenn du ein remove tool kennst, mit dem ich die leiste wegbringe, dann sags mir bitte!!! danke |
Hallo, verstehe, gehe mal bei F-Secure Blacklight auf Rename bei allen Dateien ausser C:\WINDOWS\system32\wbem\wbemtest.exe . Diese sehen dann so aus: C:\WINDOWS\system32\idemlog.exe.ren C:\WINDOWS\system32\csxan.exe.ren . . . Die löschst du dann alle (Dateien richtig suchen) und fixt dann mit HijackThis die drei O17 Einträge, dann erstattest du mal Bericht ob die Leiste noch da ist. Grüße Wildone |
was bedeutet fixen der O17 einträge?? wie funktioniert das? |
Hallo, fixen heißt bei HijackThis einen Haken vor den jeweiligen eintrag machen und auf "fix checked" klicken. Grüße Wildone |
hi, danke, die leiste scheint weg zu sein..... den rest wird dann wohl mein schwiegerpapi machen *g* danke dir vielmals..... lg |
Hallo, Zitat:
Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board