|
Popup von www.clean32.com Hallo Freunde, ich sitze hier bei Freunden in den schönen Niederlanden und hier tut sich auf ihrem Rechner ein kleines Problem auf in Form eines Popup des "Nachrichtendienst"es und gibt folgendes kund: Nachricht von SYSTEM an ALERT am xx.xx.2007 1x:xx:xx STOP! IMMEDIATE ATTENTION REQUIRED Windows has found CRITICAL SYSTEM ERRORS. Download Registry Cleaner from ***clean32.com FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION! Abgesehen von der Unverschämtheit dieser Art von Werbung möchte ich nun gerne wissen, ob hier ein Trojaner o.ä. herumschleicht und wie man diese Popups abstellen kann. HJT- logfile anbei. Vielen Dank vorab, Hurzli. [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
Hallo und willkommen! Das LogFile ist unvollständig! Reich bitte den Rest nach. Ansonsten: Deaktiviere den Windows Nachrichtendienst. Mach Dich zudem ggf. mit einer entsprechend sicheren Dienstekonfiguration vertraut: NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de Lies aber vorher die Dokumentation! Nicht einfach loslegen! |
Hallo zurück und Danke für die Antwort.Ich dachte, ich hätte das vollständige Logfile gesendet. Also nochmal: Logfile of HijackThis v1.99.1 Scan saved at 15:50:21, on 11.07.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\internat.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h##p://###.google.nl/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h##p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130526591645 O17 - HKLM\System\CCS\Services\Tcpip\..\{264E9474-B806-4515-BA9D-7FB8E734E3B5}: NameServer = 194.8.194.60 O17 - HKLM\System\CCS\Services\Tcpip\..\{6D170DE2-A6F3-476C-8B12-407AEB9E5463}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CS1\Services\Tcpip\..\{264E9474-B806-4515-BA9D-7FB8E734E3B5}: NameServer = 194.8.194.60 O17 - HKLM\System\CS2\Services\Tcpip\..\{264E9474-B806-4515-BA9D-7FB8E734E3B5}: NameServer = 194.8.194.60 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe Mehr gibt's nicht. Das Popup variiert übrigens mit den Adressen h##p://regsys.co# und h##p://Fix64.co#. Ein von Windows angebotener Dienst ist das doch niemals, oder? Hurzli |
Hi Hurzli, hatte gerade die gleiche, immer wiederkehrende Meldung (Variante:... key32 ...) nach Neuinstallation von W2K Pro und während DL/Installaton der diversen Security Patches. Zusätzliches Fehlerbild bei mir: Festplattenfehler - die betroffenen LWe/Partionen wechselten hierbei - mit automatischer Ausführung von chkdsk. s.hierzu auch [Habo] | Die Problemzone | Problem Windows wirft DVD-Laufwerk bei zugriff raus Bei Konfiguration der Firewall tauchte eine Datei namens scricon.exe auf. Infos hierzu unter SCRICON.EXE Spyware Remove Die Datei befand sich in C:\WINNT\system32. Nach späterer Installation von und Prüfung mit bitdefender v10 wurde genau diese Datei als Trojan.Dropper.RHE erkannt, konnte aber nur geblockt werden. Mein Vorgehen zur Reinigung: Datei scricon.exe löschen (permanente Löschung war nur im abgesicherten Modus möglich) --> Neustart --> cmd --> chkdsk [Laufwerk:] /f --> Neustart --> kompletter Systemscan --> alles war gut. :) Das System scheint jetzt sauber und läuft einwandfrei. Vielleicht hilft's dir auch weiter. Gruß milorien |
Hallo @milorien eigentlich sollte jeder einen eigenen Beitrag für seinen Rechner bzw. sein Problem eröffnen um es aber kurz zu machen hier Zitat:
Zitat:
Mal sehen wie lange dein System zuverlässig läuft... MFG |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board