Trojaner-Board - HighJackThis-Log - könnte mal jemand schauen?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HighJackThis-Log - könnte mal jemand schauen? (https://www.trojaner-board.de/6210-highjackthis-log-koennte-mal-jemand-schauen.html)

HighJackThis-Log - könnte mal jemand schauen?

Hallo Ihr Lieben!

So, habe gerade (im abgesicherten Modus) erst eScan laufen lassen und nun ein aktuelles Log mit HighJackThis gemacht. Das sieht so aus:

Logfile of HijackThis v1.98.0
Scan saved at 10:59:40, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\msvsrv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Daten\Claudia\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [msvsrv32] msvsrv32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Microsoft Update Machine] qwerty.exe
O4 - HKLM\..\RunServices: [msvsrv32] msvsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Daten\Claudia\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Daten\Claudia\PROGRA~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Daten\Claudia\PROGRA~1\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4933A698-91D6-4267-8D2F-789F3863FA84}: NameServer = 217.237.150.33 194.25.2.129

Probleme, die ich aktuell noch habe, sind folgende:

Mein Virenscanner (AntiVir 6.0) arbeitet auf einmal nicht mehr zuverlässig, d.h. konkret, er startet nicht mehr beim Systemstart. Das entsprechende Häkchen im AntiVir ist bei jedem Systemstart wieder verschwunden. Starte ich AntiVir manuell, kann es passieren, dass er sich einfach irgendwann selber schließt. Außerdem kann ich ihn nicht updaten, der Download beginnt zwar, wird aber mittendrin abgebrochen.

Das 2. Problem, was ich noch habe: alle Web-Seiten, auf denen Java verwendet wird, verursachen eine Fehlermeldung, bei der der C++ - Compiler eine Befehlszeile anmeckert. Egal, was ich dann im Fenster anklicke (Ignorieren, Wiederholen, Abrechen), der Browser stürzt ab und schließt sich sofort. Mehrere Versuche, Java neu bzw. nachzuinstallieren schlugen fehl, da ich jedesmal, wenn ich eine Downloadseite aufrufe (egal welche), die Meldung bekomme "Seite nicht gefunden" Bzw. ich sei im Offline-Modus, was defintiv nicht der Fall ist.

Und last but not least, werden Web-Seiten oft nicht vollständig dargestellt. Das bezieht sich zum Teil auf Bilder, die nicht dargestellt werden, aber auch auf Teilbereiche der Seiten, wo man den Hinweis sehen kann "Aktion abgebrochen" Realode ich die Seite (manchmal mehrmals), ist oft alles wieder da und funktioniert auch (bis auf Java-Seiten).

Ich habe übrigens WIN XP Prof. und den IE 6, sowie Netscape 7. Die Probleme sind bei beiden Browsern gleich.
Außerdem habe ich gestern wirklich alle(!) verfügbaren Updates und Patches für Win XP usw. runtergeladen und installiert, sowie die Systemherstellung deaktiviert und auch die XP-Firewall aktiviert (kann man die eigentlich individuell einstellen?).

Ich hoffe, Ihr könnt mir hier weiterhelfen *liebguck*

Liebe Grüße
Claudia

Habe dein LogFile mal hier in die Auswertung eingegeben

Empfehle im abgesicherten Modus zu fixen.
!! Bitte vorher den Link 'Auswertung' durchlesen !!

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
**Eventuell Böse ** Diese Seite könnte böse Sein! Wenn Sie die Seite 'http://www.ebay.de/ ' nicht kennen, sollte der Eintrag entfernt werden.

O4 - HKLM\..\RunServices: [Microsoft Update Machine] qwerty.exe
**Böse ** Zum eingegebenen Programm Microsoft Update Machine haben wir folgendes Programm gefunden: Microsoft Update. (Resultate) Unbedingt fixen!

O4 - HKLM\..\RunServices: [Microsoft Update Machine] qwerty.exe
**Böse ** Zum eingegebenen Programm Microsoft Update Machine haben wir folgendes Programm gefunden: Microsoft Update. (Resultate) Unbedingt fixen!

O4 - HKCU\..\Run: [Microsoft Services Unitd] MSU32.exe
**Böse ** Zum eingegebenen Programm Microsoft Services Unitd haben wir folgendes Programm gefunden: Microsoft Windows Kernel Services. (Resultate) Unbedingt fixen!

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
**Eventuell Böse ** Unbekannte Button oder Einträge im Menü 'Extras' immer mit HijackThis fixen. Wenn der Eintrag '' nicht bekannt ist, fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} - http://acxd.freeload.cc/ieloader.cab
**Eventuell Böse** Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} - http://freeload.cc/secure/ieloader.cab
**Eventuell Böse ** Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden! Prüfen ob Sie diese Seite kennen und ggf. fixen.

Zitat:

Ich habe übrigens WIN XP Prof. und den IE 6, sowie Netscape 7. Die Probleme sind bei beiden Browsern gleich.
Außerdem habe ich gestern wirklich alle(!) verfügbaren Updates und Patches für Win XP usw. runtergeladen und installiert,

Da gab es keine Probleme beim download ?

Versuch das --> Security Check

Zitat "Da gab es keine Probleme beim download ?"

Nee, ging einwandfrei und völlig problemlos.

Versuche gerade den Check, über den von Dir angegebenen Link.

Derweil hier nochmal das Log-File (diesmal im abgesicherten Modus gemacht)

Logfile of HijackThis v1.98.0
Scan saved at 11:57:15, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Daten\Claudia\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [msvsrv32] msvsrv32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [msvsrv32] msvsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Daten\Claudia\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Daten\Claudia\PROGRA~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Daten\Claudia\PROGRA~1\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Die von Dir genannten Einträge habe ich alle gefixt.

Liebe Grüße
Claudia

Das sieht schon viel besser aus :-)

Zu diesen beiden kann ich dir leider nichts schreiben - sorry

Zitat:

O4 - HKLM\..\Run: [msvsrv32] msvsrv32.exe
**Unbekannt ** Zum eingegebenen Programm msvsrv32 haben wir folgendes Programm gefunden: Kein. (Resultate) Nicht bekanntes Programm.

O4 - HKLM\..\RunServices: [msvsrv32] msvsrv32.exe
**Unbekannt ** Zum eingegebenen Programm msvsrv32 haben wir folgendes Programm gefunden: Kein. (Resultate) Nicht bekanntes Programm.

Hier das Ergebniss vom Securitiy Check

http://webscan.security-check.ch/tes...8895c50bb19559

Das einzige was da "angemeckert" wird, ist, dass mein Betriebssystem nicht erkannt wurde. Ansonsten alles i.O. und nix gefunden.

Und nun? :rolleyes: :confused:

Zitat:

Und nun?

Warten bis jemand eine Antwort darauf weiß !!

In Zwischenzeit etwas XP Lektüre :-)

Win XP Tipps

EDIT : Bei steht auch das gleiche !

suche mal die Datei "msvsrv32.exe" und poste wo sie ist.
mache rechten mausklick drauf => eigenschaften und nennen uns Hersteller Version, Datum etc...
Schicker msvsrv32.exe auch mal zu Kaspersky => http://www.kaspersky.com/de/remoteviruschk.html

Ich würde msvsrv ja fixen (alle einträge) ob's hilft ist was anderes, ZUERST aber obiges durchführen

Hallo!

Also die Datei befindet sich unter C:\Windows\System32

hat eine Größe von 76 kb, wurde gestern erstellt und die letzte Aktualisierung stimmt immer mit der gerade aktuellen Zeit überein. Mehr Infos kann ich über Eigenschaften nicht abrufen. Also bei Autor, Version etc. ist nichts angegeben.

Mit dem Kaspersky-Link habe ich ein Problem: Seite kann nicht angezeigt werden, überprüfen Sie Ihre Netzwerkeinstellungen...

Dafür konnte ich ein Update von AntiVir herunterladen *freu*, das Problem, dass sich das Programm beim Systemstart nicht mit öffnet bzw. plötzlich von alleine schließt, bleibt aber.

Und auch Java konnte ich problemlos runterladen und installieren. Wenn ich eine Web-Seite mit Java öffne, öffnet sich auch Java, aber die Fehlermeldung C++ Runtime Libary bleibt...

Bin also für weitere Tipps und Infos offen und bedanke mich schonmal für die Mühe, die Ihr Euch bisher gemacht habt!! :daumenhoc :daumenhoc

Liebe Grüße
Claudia

War es dieser Link von Kaspersky oder dieser hier in deutsch

Zitat:

Zitat von Chaban88

Mit dem Kaspersky-Link habe ich ein Problem: Seite kann nicht angezeigt werden, überprüfen Sie Ihre Netzwerkeinstellungen...

habe ich mir fast gedacht, ist so eine eigenheit diverser Malware das Web zu verbiegen.
versuch mal http://81.176.69.79/de/remoteviruschk.html

(81.176.69.79 = www.kaspersky.com)

@Nagie: beide Links gehen nicht... Seite kann nicht angezeigt werden... *seufz*

@Shadow: komme zwar auf die Seite, kann auch den Pfad der Datei eingeben, aber wenn ich auf Überprüfen klicke, kommt auch "Seite kann nicht angezeigt werden"

Hat eigentlich zufällig jemand ne Ahnung, zu welchen Programm dieser C++-Compiler gehört? Zu XP oder doch zu was anderem? Würd gern mal nachinstallieren und schauen, ob das Problem mit den Java-Seiten dann weg ist.

Liebe Grüße
Claudia

@ Shadow

Was ist der Unterschied zwischen deinem & meinem Link ?
Wieder mit einem Auge gekuckt :teufel2:

ich nehme einen Kaffee

Sollte es das sein ? BOAH * Staun * ganz schön happig
Klickst du hier

@Nagie: ähem, keine Ahnung, ob es das ist... Ich weiß nur, dass, wenn ich Java aufrufe, eine Fehlermeldung bekomme, in der der der C++ -Compiler eine datei anmeckert. Leider ist diese Fehlermeldung so ein Buchstaben/Zahlen-Kauderwelsch, so dass ich daraus überhaupt nicht mehr schlau werde. Ich hab nur die Auswahl Abbrechen/Wiederholen/Ignorieren zu wählen. Bei Ignorieren passiert gar nichts, bei allen anderen Möglichkeiten schmiert der Browser direkt ab (auch Netscape).

Diese Fehlermeldung ist für den 08/15-Anwender in etwas so hilfreich, wie die Meldungen bei Win-Bluescreen "Ein schwerer Ausnahmefehler ist an Adresse sowieso aufgetreten" Aha! Ach ja??? *gg* Ich frage mich da immer, ob auch die Programmierer dieser Software überhaupt noch wissen, was es damit auf sich hat... *fg*

Übrigens ist mir noch aufgefallen, dass die Fehlermeldungen, dass Seiten nicht angezeigt werden können, häufiger werden, je länger ich an einem Stück online bin. Boote ich den PC neu, klappen viele Seiten problemlos (Kasperska leider nicht).

Zur Hülfe! Ich mag langsam nimmer! *ürgs* :headbang: :koch:

Und ich finds echt supi, dass Ihr Euch soviel Mühe macht, nach einer Lösung zu suchen! :huepp: Ich hoffe, ich kann mich dafür irgendwann mal revanchieren... :)

Liebe Grüße
Claudia

schiebe noch ein "n" für NaNgie hinterher... sorry

Zitat:

Zitat von Chaban88

@Shadow: komme zwar auf die Seite, kann auch den Pfad der Datei eingeben, aber wenn ich auf Überprüfen klicke, kommt auch "Seite kann nicht angezeigt werden"

Dein Browser ist entführt gehighjacked/highgejacked/?? naja er ist High.
(auch @ Nangie)
Mit http://81.176.69.79/de/remoteviruschk.html muss der Browser keine DNS-Anfrage stellen sondern geht direkt auf 81.176.69.79 und ies ist "zufällig" Kaspersky.com.
Die Abfrage AUF der Seite [Button ÜBERPRÜFEN] geht aber dann wieder nach kaspersky.com (leider wurde da intern ein absoluter Pfad angegeben). Also muss der Browser wieder eine DNS-Anfrage stellen und die Malware hat dies verbogen!

@Chaban: such mal nach der Hosts-Datei, ist versteckt und liegt im allgemeinen unter: c:\windows\system32\drivers\etc

Der normale Inhalt:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# blablabla
# blablabla
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Steht hier mehr mal (ohne # davor) auskommentieren, in dem du ein Doppelkreuz # an den Zeilenanfang setzt.
Hier reinposten und mit Kaspersky noch mal testen

@ Shadow

Danke - wieder was dazu gelernt :)

ich geb dir 'nen Kaffee ;-D

@Shadow: boah, Du verlangst Sachen von mir, von denen ich nichtmal geahnt hätte, dass es sie überhaupt gibt... :D

Nach ein bischen suchen, hier meine Hosts-Datei:

#127.0.0.1 www.symantec.com
#127.0.0.1 securityresponse.symantec.com
#127.0.0.1 symantec.com
#127.0.0.1 www.sophos.com
#127.0.0.1 sophos.com
#127.0.0.1 www.mcafee.com
#127.0.0.1 mcafee.com
#127.0.0.1 liveupdate.symantecliveupdate.com
#127.0.0.1 www.viruslist.com
#127.0.0.1 viruslist.com
#127.0.0.1 viruslist.com
#127.0.0.1 f-secure.com
#127.0.0.1 www.f-secure.com
#127.0.0.1 kaspersky.com
#127.0.0.1 www.avp.com
#127.0.0.1 www.kaspersky.com
#127.0.0.1 avp.com
#127.0.0.1 www.networkassociates.com
#127.0.0.1 networkassociates.com
#127.0.0.1 www.ca.com
#127.0.0.1 ca.com
#127.0.0.1 mast.mcafee.com
#127.0.0.1 my-etrust.com
#127.0.0.1 www.my-etrust.com
#127.0.0.1 download.mcafee.com
#127.0.0.1 dispatch.mcafee.com
#127.0.0.1 secure.nai.com
#127.0.0.1 nai.com
#127.0.0.1 www.nai.com
#127.0.0.1 update.symantec.com
#127.0.0.1 updates.symantec.com
#127.0.0.1 us.mcafee.com
#127.0.0.1 liveupdate.symantec.com
#127.0.0.1 customer.symantec.com
#127.0.0.1 rads.mcafee.com
#127.0.0.1 trendmicro.com
#127.0.0.1 www.trendmicro.com

(Alles natürlich ohne #)

Hilft Dir und mir das jetzt irgendwie weiter?????

Liebe Grüße
Claudia

Die Zeilen einfach auskommentieren (also ein '#' davor, wie in Deinem Posting), oder gleich ganz löschen.

Ansonsten sucht der Browser (oder der Updater) die Updates und Virenprogramme auf Deinem PC (=127.0.0.1). ;)

Gruß :daumenhoc
Yopie

Aaaaaahhhh soooo... Mönsch, Jungs, ich bin doch blond. Da brauchen manche Sachen schonmal was länger, eh ich sie verstanden habe... *einsnickersreichtweilsmalwiederetwaslängerdauert* :D

Juhu!! Das Auskommentieren hat geklappt! Die Kaspersky-Seite war komplett zu sehen und der Scan hat auch funktioniert. Allerdings war die Datei msvsrv32.exe ok, also ohne Befund.
Um ehrlich zu sein: soll ich mich jetzt darüber freuen? Ich mein, wenn die Datei es nicht ist, welche dann?? *grübel*

Das "Auskommentieren" diente nur dazu dass es wieder rückgängig gemacht werden kann.
Da aber alles was Du da gepostet hast, "falsch" ist => alles löschen
gibt rechte Maustaste => Eigenschaften => Version auf msvsrv32.exe keinen Hersteller?

Wahrscheinlich wird die Datei von Kaspersky noch nicht erkannt.

Denn unter http://www.computerhilfen.de/hilfen-17-33353-0.html sind die gleichen Symptome beschrieben im Zusammenhang mit der Datei.

Versuche die Datei zur Sicherheit erstmal umzubenennen (evtl. abgesicherter Modus), und schick sie mal an virus@rokop-security mit einer kurzen Erklärung, das Kaspersky online nichts erkannt hat, Du aber davon ausgehst, das die Datei nicht koscher ist. ;)

Gruß :daumenhoc
Yopie

Nochmal für Blonde ;-): kann ich den Inhalt der Hosts-Datei jetzt löschen?? *fragendguck*

Zu msvsrv32.exe gibt es außer der Dateigröße keinen weiteren Hinweis. Also kein Hersteller, keine Versionsnummer o.ä.

Mal ne blöde Frage: wenn ich die Datei jetzt weiter maile, richte ich damit keinen Schaden an? Wäre es vielleicht besser, erstmal vorab an virus@rokop-security (was eigentlich .com oder .de??) zu mailen? Ich mein, wenn der HighJacker bisher nicht erkannt wird...?

Liebe Grüße
Claudia, die wohl einen HighJack-Prototyp auf dem PC hat... ;-)

Zitat:

Zitat von Chaban88

Nochmal für Blonde ;-): kann ich den Inhalt der Hosts-Datei jetzt löschen?? *fragendguck*

Ja, alles löschen außer den evtl. vorhandenen Eintrag " 127.0.0.1 localhost". ;)

Zitat:

Zitat von Chaban88

Mal ne blöde Frage: wenn ich die Datei jetzt weiter maile, richte ich damit keinen Schaden an? Wäre es vielleicht besser, erstmal vorab an virus@rokop-security (was eigentlich .com oder .de??) zu mailen? Ich mein, wenn der HighJacker bisher nicht erkannt wird...?

Sorry, an virus@rokop-security.de geht die Mail.
Die Jungs (und Mädels :D ) dort können mit der Datei schon umgehen, wenn Du sie direkt hinmailst. Du kannst sie aber auch gezippt hinschicken; nur ausführen solltest Du sie erstmal nicht. :)

Mehr dazu hier.

Gruß :daumenhoc
Yopie

Guten Morgen!

Hab gerade Antwort von Roman bekommen:

Hallo Claudia,

Ich habe die Datei gecheckt, sie ist nur leider sehr stark
verschlüsselt, dass ich nicht richtig schlau daraus werde.
Eines meiner AV Programme meldet sie als infiziert, ich habe sie
deshalb zur genaueren Analyse eingeschickt.
Sobald ich darüber Informationen habe, melde ich mich noch einmal.

Schaun wir mal, was dabei rauskommt. Nachdem gestern abend, nachdem ich die Hosts-Datei auskommentiert hatte, alles stabil lief (bis auf mein Java-Problem *seufz*), stehe ich nämlich heute morgen wieder vor dem selben Problem: ich bin schon wieder "entführt" :heulen: Werd also gleich nochmal eScan & Co. bemühen... *seufz*

Liebe Grüße
Claudia

Hallo!

So, hier die "Auflösung"

Hallo,
scheint eine Backdoor SDBot Variante zu sein, Datei also unbedingt im
abgesicherten Modus löschen (auch Registry Eintrag)

Dazu eine Frage, wie und wo lösche ich einen Eintrag in der Registry? Hab sowas noch nie manuell gemacht...

Und dann hab ich vorhin nochmal`s eScan laufen lassen, der in C:\Windows\System32\Drivers\etc den Trojaner "Trojan.Win32.Qhost gefunden und gelöscht hat. Gibt es dazu noch irgendetwas zu beachten?

Wenn`s was hilft, könnte ich auch nochmal den aktuellen Log-File (erstellt nach eScan-Durchlauf) von HighJackThis hier einstellen.

Liebe Grüße
Claudia

Mach eine sicherrung deiner Registry wenn du unsicher bist.
Ansonsten:
Regedit starten
"einfach" den Eintrag suchen, diesne und nur diesen Eintrag anwählen/markieren und löschen
:-)

zu Qhost
ein Online-AV-Scan mit anderem Programm kann nicht schaden (wenn Du DSL-Flat hast)

schau mal nach was da (C:\Windows\System32\Drivers\etc ) alles für Dateien drin sind und poste die Namen
ausser der Datei "hosts" sollten alle Dateien eigentlich vom selben alten Datum sein, ob es in allen XP-Versionen identisch ist weiß ich nicht, aber hier habe ich grad eine Kundenkiste mit Datum auf allen 5 Dateien vom 23.08.2001 14:00

Guten Morgen Ihr Lieben! ;)

Ich wollte mich bei Euch ganz herzlich für Eure Hilfe bedanken! Es sieht nämlich tatsächlich so aus, als sei ich das Problemn los! *freu*
Ich habe heute morgen noch meinen alten Virenscanner von der Platte geschmissen und Ad-Aware 6.0 installiert, der nochmal einige Fehler gefunden hat. Übrigens auch die msvsrv32.exe....

Jetzt muss ich "nur" noch schauen, wie ich diesen blöden Visual C++ Runtime-Libary-Fehler in den Griff bekomme. Dazu ist mir übrigens aufgefallen, dass a) meine T-Online-Software nicht mehr funktioniert (nutze ich zum Online-Banking) und b) seit dem Update der selben der ganze Schlammassel mit den High-Jackern und diversen anderen Fehlern erst angefangen hat. Zufall?

Vielleicht hat ja hier noch jemand einen Tipp dazu? *hoff*

Liebe Grüße
Claudia

Zitat:

a) meine T-Online-Software nicht mehr funktioniert (nutze ich zum Online-Banking) und b) seit dem Update der selben der ganze Schlammassel mit den High-Jackern und diversen anderen Fehlern erst angefangen hat. Zufall?

Ich kann Dir nur raten, nicht mit der t-online zu arbeiten! Ich selbst habe mit dieser software gearbeitet bis mir mal ein mitarbeiter im 2nd level dazu geraten hat, lieber eine dfü verbindung zu erstellen und zu dem online banking: nahezu jede bank bietet einen eigenen service an der mindestens genauso gut funktioniert - also einfach mal beim bänker nachfragen oder auf die hompage gehen

@Chaban88

Ad-aware ist kein Virenscanner.
Ad-aware findet zum größten Teil Ad- und Spyware, Dialer, Hijacker usw.
Aber keine Viren!
Einen Virenscanner solltest du auf jeden Fall ZUSÄTZLICH zu Ad-aware installieren.

Zitat:

Zitat von Radja

Naja, dies ist eigentlich schon "immer" der Fall, zumindest seit dem TOL auch per dfü funktioniert, schätze mal so 10 jahre?

Zitat:

Zitat von Radja

und zu dem online banking: nahezu jede bank bietet einen eigenen service an der mindestens genauso gut funktioniert - also einfach mal beim bänker nachfragen oder auf die hompage gehen

Aber nicht jede Bank bietet ein kostenfreies Offline-Banking-Tool an. Z.Bsp verlangen einige Sparkasse für S-Firm was, andere wiederum nicht. Je nach Gusto

@Chaban88:
das T-Online-Modul (Startzenter) ist meist nur ein unnützer Firlefanz um Werbung darzustellen Als Ausgleich belastet es halt meist das System unnötig und zieht auch Bandbreite (wegen der Werbung).
Das Mail-Programm von T-OL hat zwar als Vorteil IMHO sicherer wie Outlook oder Outlook-Express zu sein und hat auch die Option vor dem Download unerwünschte Mails auf dem Server gleich zu löschen. Aber beides ist mit kostenfreier Software auch zu machen.

Gegen Messenger bin ich sowieso *bg* und das ganze Megagebyte nur für TOM ist ja wirklich nicht nötig.
Der Browser ist nur ein IE mit dessen Fehlern und Magenta-Design.

@Christian: danke für den Hinweis! Schon wieder was dazu gelernt...

Kann man Ad-Aware eigentlich im Hintergrund laufen lassen oder muß man es immer manuel starten? Hab schon gesucht, aber eine solche Funktion nicht gefunden...

Zu T-Online: ich benutze es wirklich ausschließlich für`s Banking, ansonsten habe ich auch eine normale DFÜ-Verbindung, über die ich mich einwähle. Das Banking ist halt recht komfortabel, weil ich z.B. nicht jedesmal das Überweisungsformular komplett neu eingeben muß, sondern vorhandene Überweisungen einkopieren kann. Und es ist eben kostenlos.

Und TOM? Wer ist eigentlich TOM...??? :D

Zitat:

Kann man Ad-Aware eigentlich im Hintergrund laufen lassen oder muß man es immer manuel starten? Hab schon gesucht, aber eine solche Funktion nicht gefunden...

.....dann wird es wohl auch nicht vorhanden sein http://www.mainzelahr.de/smile/froehlich/biggrin.gif

Zitat:

Zitat von Nangie

.....dann wird es wohl auch nicht vorhanden sein http://www.mainzelahr.de/smile/froehlich/biggrin.gif

Danke! :D

Liebe Grüße
Claudia

Zitat:

Zitat von Nangie

.....dann wird es wohl auch nicht vorhanden sein http://www.mainzelahr.de/smile/froehlich/biggrin.gif

In der kostenpflichtigen größeren Version AFAIK schon.
Ob dies aber sinnvoll und nötig ist?

Benutze einfach deinen Kopf beim Surfen, auch ein weniger unsicherer Browser hilft (Firefox 0.9.1, Opera 7.52) ein bisserl

TOM = T-Online Messenger

@Shadow: das mit dem TOM war ironisch gemeint... ;)

Ich hab übrigens den IE nun endgültig von der Platte geschmissen, sehr zum Ärger meines GG, der den IE nach wie vor "ach so toll findet"... (ohne Worte) Dafür habe ich mir nun den Mozilla mal installiert. Bisher bin ich ganz zufrieden, was die Bedienung usw. angeht. Wie sieht`s da mit der Sicherheit aus?