|
Mein PC spielt total verrückt - bitte um Hilfe!!! Hallo, vorab - ich bin absolut nicht der PC-Freak und hab auch nicht so die Ahnung von der Materie... Hier erstmal meine Probleme: Hab mir durch Netpumper wohl so einiges ins Häuschen geholt! Die Pop-Ups tauchen aber mittlerweile nicht mehr auf. Dafür bekomme ich beim Systemstart weder die Möglichkeit in den abgesicherten Modus zu kommen, noch startet der PC "sauber" durch (braucht eeeeeewig). Außerdem bekomme ich nur einen schwarzen Bildschirm wenn ich versuche ohne Netzwerkkabel den Rechner hochzufahren - stattdessen kommt ganz kurz ein bluescreen und die kiste fährt erneut hoch - das kann ich beliebig oft wiederholen. hab verschiedene virenscanner (escan, norton, antivir, adaware etc.) ausprobiert, alle finden irgendwas aber die probleme lösen sich einfach nicht.... zusätzlich habe ich noch folgende dateien auf dem system die ich nicht löschen kann bzw. die nach dem löschen bei neustart immer wieder auftauchen: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\meal ooze idle soft\usersafe.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\meal ooze idle soft\Eq eggs 1 C:\Dokumente und Einstellungen\***\Anwendungsdaten\Jump bat dupe\dogprogram.exe Diese Ordner bzw. Dateien hatte Norton auch gefunden, kann sie aber ebenfalls nicht löschen... gelegentlich bekomme ich beim systemstart auch eine info das norton einen backdoor trojaner gefunden und gelöscht hat - hab aber den namen von dem vieh grad nicht parat...sorry schonmal an der stelle! zu guter letzt macht eine anwendung namens "navw32.exe" andauernd ärger - "der vorgang "read" konnte auf dem speicher nicht durchgeführt werden"... ich hab das board ein wenig studiert und jetzt so ein hijackthis gemacht! wär echt super wenn mir jemand helfen könnte (bitte in kindersprache :rolleyes: ). Wenn es nur irgendwie geht bitte so dass ich meine systemkonfiguration/ dateien behalten kann... vieeeelen dank im voraus!!! drietjesicht Logfile of HijackThis v1.99.1 Scan saved at 21:28:05, on 07.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vssms32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deesc.netfirms.com/mob/lan R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx |
Poste mal das komplette Log von HJT. |
Hallo, Zitat:
hat du putt demacht-mud du neu machen... Recht so ?:) Zitat:
Such mal in Norton ,ob da nicht der Name und Pfad von dem Ding zu finden ist,in Quarantäne oder sinngemäßem. Irrlicht |
sorry, da is was verloren gegangen :-) Logfile of HijackThis v1.99.1 Scan saved at 21:28:05, on 07.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vssms32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://deesc.netfirms.com/mob/lan R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7D79278F-EA3A-DBA1-D601-E5E5B2E028CE} - (no file) O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\dnxyeca.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting O4 - HKCU\..\Run: [Amok hold] C:\DOKUME~1\***\ANWEND~1\JUMPBA~1\dogprogram.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://w*w.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://w*w.medion.com/ O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://w*w.cult3d.com/download/cult.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/272f56c27105adcdda18/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136924046343 O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://w*w.hpphoto.com/downloads/DownloadPhotos.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing) O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Ethernet Packet Service (npacketservice) - Unknown owner - C:\WINDOWS\system32\npacketsvc.exe (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
@irrlicht: genau so :-) mein norton will leider nicht mehr... |
@TO lass folgende Dateien bei Virustotal auswerten: Zitat:
Gruß Daniel EDIT: Ach irrlicht, du warst auch schon mal schneller :zzwhip: |
Hallo drietjesicht, ich vermute den :http://www.sophos.de/security/analyses/trojbdooryp.html in deinem System. Warten wir noch ,ob wer das bestätigen kann.Du solltest dich aber schonmal mit dem Gedanken und dem Thread "Neuaufsetzen" beschäftigen. Irrlicht |
die "C:\WINDOWS\system32\vssms32.exe" find ich im uploadfenster nicht - woran kann sowas denn liegen?auf die andere warte ich grad.... |
Vielleicht hilft dir beim suchen der Datei dieser LINK :rolleyes: |
lol - das hätte selbst ich wissen müssen...:headbang: gleich ist`s soweit.... |
nummer eins: Complete scanning result of "dnxyeca.dat", received in VirusTotal at 07.07.2006, 22:14:30 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 no virus found CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 no virus found McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 no virus found Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 64 bytes MD5: 34584bd374bf21dc349b63a9e38a9408 SHA1: 33b9ee4127383eac0c2ebbd3233262823aae5637 |
nummer 2 liest sich für mich bei panda nicht ganz so gut: Complete scanning result of "vssms32.exe", received in VirusTotal at 07.07.2006, 22:23:59 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 no virus found CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 no virus found McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 Suspicious file Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 642560 bytes MD5: 2db403c837fe9faf85564db4407e70d3 SHA1: 5f22e02b23117b29e516b8987fd93f052ce4cdaf packers: Aspack |
und jetzt? |
Scanne Dein System mit F-Secure Blacklight und poste das Log. Prüfe Dein System mit Ewido Antimalware 3.5 Link dazu http://www.ewido.net/de/ Poste das Ergebnis. Lade Clearprog, installiere es, starte es. Haken bei alles Löschen setzen und Löschen drücken. Neues HJT-Log. |
sorry, vielleicht bin ich ja auch zu blöd das ohne link zu finden aber das fsecure find ich net |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board