|
Ich habe beim hochfahren dieses winmngr.exe (die ich jetzt isoliert habe aber vorher war sie im autostart). Hat das einer schon mal gehört ? Ich habe mal ein logfile gemacht : Logfile of HijackThis v1.97.7 Scan saved at 08:38:57, on 26.05.2004 Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O1 - Hosts: 66.40.16.234 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE /min O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\windows\startmenü\programme\autostart\winmngr.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab |
</font><blockquote>Zitat:</font><hr />Original erstellt von missb4: Logfile of HijackThis v1.97.7 Scan saved at 08:38:57, on 26.05.2004 Running processes: ... </font>[/QUOTE]Da fehlt doch was! Warum löschst Du da was raus? http://www.cheesebuerger.de/smilies/boese/60.gif Schämst Du Diche Deiner (nichtupgedateten) Windows und IE-Version? http://users.ece.gatech.edu/~owen/Re...0_root-kit.htm [ 26. Mai 2004, 09:24: Beitrag editiert von: Shadow ] |
:confused: was ist denn da jetzt das problem ? wieso schämen ? ich hatte mit den file rüberkopiert und da hab ich beim makieren die ganzen oberen reihen nicht drin gehabt. aber damit man sieht das es von heute ist hab ich dann doch noch die zeilen eingefügt. wenn das bei der antwort nötig ist kann ich die anderen zeilen auch noch mal kopieren. ich dachte die sind unwichtig !? :confused: ps trotzdem danke für den link ! |
es ist SEHR wichtig welche Windows-Version vorliegt (nicht jede Datei kann in jeder Windows-Version "legal" vorliegen. Legal jetzt nicht im Sinne von Raubkopie oder nicht sondern ob eine Datei dieses Namens normalerweise dort vorhanden ist oder eben nicht. Einige Malware bedient sich eben "legaler" Namen und wenn diese Namen im falschen Windows vorkommen, sagt es schon viel. Auch weitere Tipps sind Versionsabhängig. Also bring mal dein Windows auf den neuesten Stand :D Wäre auch nett wenn Du wenigsten schreiben würde ob mein ergooglter Link dir geholfen hat oder nicht. (wie gut ist dein Englisch?) Und mach dir nichts draus, ich bin hier manchmal etwas ruppig *bg* wenn mich meine Board-Bremse nicht zurückpfeift *grüße an Nangie* |
hi shadow :) also mein englisch ist eigentlich ganz ok (nur wie gesat binich nicht so der pc profi und hab somit leider nicht alles verstanden). ich hab den .exe file im startmenü weggelöscht und auch im regedit.exe dann scheit es auch weg zu sein. heute hatte ich das schon wieder...da steht dann wohl wenn man den pc hochfährt : verdächtige anwendung entdeckt (das programm ist wohl mit orgendwas gepackt upx oder so was ähnliches - habe es mir leider nicht aufgeschrieben) und dann wird gefragt ob ich das programm öffnen lassen möchte ! sag ich natürlich immer "nein" ! und dann geh ich es einfach löschen. ps : und wegen deinem ruppigen ton [img]graemlins/bussi.gif[/img] kein problem :D |
</font><blockquote>Zitat:</font><hr /> Und mach dir nichts draus, ich bin hier manchmal etwas ruppig *bg* wenn mich meine Board-Bremse nicht zurückpfeift *grüße an Nangie*</font>[/QUOTE]:D :D :D @missb4: interessant wäre, wer die meldung ausgibt und welche datei du immer löschst! |
hi mav also die warnung kommt in so einem windows fenster (roter kreis mit weissem kreuz) und da steht dann verdächtiges programm entdeckt unter....blablabla/autostart und das es mit einem upx scrambler gepackt wäre und ob ich es zulassen möcht ! da drücke ich immer nein und gehe es löschen. heute hatte ich wieder eins unter einer anderen bezeichnung ...internat.exe ist aber wenn man unter eigenschaften guckt immer vom gleichen "typ" wie schon winupdate.exe / msupdate.exe / winmngr.exe. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board