|
Cash Back Hund HI, ich hoffe Ihr könnt mir bei meinem Problem helfen.... Ich habe seit neustem einen Hund in meiner Taskleiste rechts..... Is irgendwie von cashback und nich kaputt zu bekommen.... Weiß jemand Rat? MFg Ollrich |
http://www.trojaner-board.de/51130-a...ijackthis.html - LogFile erstellen und bitte hier posten. |
DANKE HABE DAS PROBLEM ABER EBEN SELBST GELÖST! Logfile of HijackThis v1.98.2 Scan saved at 00:49:43, on 23.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\WINDOWS2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\eczbsuw.exe C:\Program Files\WindUpdates\WinUpdt.exe C:\WINDOWS\System32\SASEURHJ.EXE C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\Program Files\WindUpdates\WinKA.exe C:\Programme\NaviSearch\bin\nls.exe C:\WINDOWS\System32\lsrv.exe C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Programme\CashBack\bin\cashback.exe C:\Dokumente und Einstellungen\Oliver\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~2\WINDOW~2\WinSB.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0002.1001\de\msntb.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0002.1001\de\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Winsock2] WINDOWS2.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [agrkuwl] C:\WINDOWS\System32\eczbsuw.exe O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [Winsock4] SASEURHJ.EXE O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [lmv] C:\WINDOWS\lmv.exe O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...17002f5b97a1db O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AEA5BE7F-EBDB-4002-90D9-6FBBFCC8A88E}: NameServer = 217.237.150.33 194.25.2.129 |
Das sieht nicht gut aus bei dir - die Cashback-Adware ist das geringste Problem. Viel schwerwiegender sind die aktiven Trojaner und Backdoors! Mehr dazu gleich, einen Moment bitte! |
1.) Geh in Windows in die Systemsteuerung (z.B. >Arbeitsplatz >Systemsteuerung). 2.) Wechsele dort in die Ordneroptionen, Registerkarte Ansicht. 3.) Nimm folgende Einstellungen vor: Haken rausnehmen bei "Geschützte Systemdateien ausblenden". Haken setzen bei "Inhalte von Systemordnern anzeigen". Haken setzen bei "Alle Dateien und Ordner anzeigen". Haken setzen bei "Versteckte Dateien und Ordner anzeigen". Mach das erstmal, dann geht es gleich weiter bei Punkt 4.) 4.) Such nach diesen Dateien: C:\WINDOWS\System32\WINDOWS2.EXE C:\WINDOWS\System32\eczbsuw.exe C:\WINDOWS\System32\SASEURHJ.EXE C:\WINDOWS\lmv.exe C:\WINDOWS\System32\lsrv.exe Prüf sie hier (-> http://www.kaspersky.com/de/scanforvirus ) und poste dann die Ergebnisse. Mach erst nach dem Posten bei Punkt 5.) weiter. 5.) Weitere Dateien, die zu prüfen wären: C:\Program Files\WindUpdates\WinKA.exe C:\Program Files\WindUpdates\WinUpdt.exe C:\Programme\NaviSearch\bin\nls.exe C:\Programme\CashBack\bin\cashback.exe C:\WINDOWS\nem219.dll C:\WINDOWS\System32\nvms.dll C:\WINDOWS\System32\mscb.dll C:\WINDOWS\System32\msbe.dll |
Zu überprüfende Datei: WINDOWS2.EXE WINDOWS2.EXE - packed with ASPack WINDOWS2.EXE Infiziert: Backdoor.Spyboter.gen Statistiken: Bekannte Viren: 97030 Updated: 23-08-2004 Größe der Datei (Kb): 22 Viren-Korpus: 1 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 C:\WINDOWS\System32\eczbsuw.exe kam nichts..... Zu überprüfende Datei: SASEURHJ.EXE SASEURHJ.EXE - packed with ASPack SASEURHJ.EXE Infiziert: Backdoor.Spyboter.gen Statistiken: Bekannte Viren: 97030 Updated: 23-08-2004 Größe der Datei (Kb): 22 Viren-Korpus: 1 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 Zu überprüfende Datei: lmv.exe lmv.exe Ok Statistiken: Bekannte Viren: 97030 Updated: 23-08-2004 Größe der Datei (Kb): 92 Viren-Korpus: 0 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 Zu überprüfende Datei: lsrv.exe lsrv.exe - packed with UPX lsrv.exe Infiziert: Backdoor.Rbot.gen Statistiken: Bekannte Viren: 97030 Updated: 23-08-2004 Größe der Datei (Kb): 87 Viren-Korpus: 1 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 Soll ich jetzt weiter prüfen? |
OK, zu den Ergebnissen aus Punkt 4.): A.) Öffne den Taskmanager (Strg Alt Entf zugleich drücken). Bleibt er offen, oder wird er gleich wieder geschlossen? Falls er nicht offen bleibt, geh in >Windows >System32, kopiere die Datei taskmgr.exe, füge die Kopie dann auf dem Desktop ein und benenn die Datei um in pruefung1.com. Klick sie doppelt - der Taskmanager sollte nun offen bleiben. B.) Markiere alle unter 4.) genannten Dateien bzw. Prozesse im Taskmanager. Wähle dann "Prozesse beenden" und bestätige mit OK. C.) Geh in die entsprechenden Ordner, klick die unter 4.) genannten Dateien mit rechts an, wähle "Ausschneiden", und füg sie dann einzeln in einen Quarantäneordner wieder ein (Rechtsklick ins Leere, dann "Einfügen"). Diesen Quarantäneordner mit beliebigem Namen musst du dir zuvor selbst erstellen, z.B. unter "Eigene Dateien". Klappt das soweit? |
Zu überprüfende Datei: WinKA.exe WinKA.exe - packed with UPX WinKA.exe Infiziert: TrojanDownloader.Win32.Agent.bf Zu überprüfende Datei: WinUpdt.exe WinUpdt.exe - packed with UPX WinUpdt.exe Infiziert: TrojanDownloader.Win32.Agent.bf Zu überprüfende Datei: nls.exe nls.exe Ok CASH Back habe ich gelöscht... Zu überprüfende Datei: nem219.dll nem219.dll - packed with UPX nem219.dll Infiziert: TrojanDownloader.Win32.Dyfuca.gen Zu überprüfende Datei: nvms.dll nvms.dll Ok Zu überprüfende Datei: mscb.dll mscb.dll Ok Zu überprüfende Datei: msbe.dll msbe.dll Ok |
Zitat:
Bis auf die IMV.exe konnt ich alle aus dem taskmgr schließen......(war nicht drin) BIn jetzt grade beim auschneiden und in ordner setzen.... |
Zitat:
Frage: Ist das Einzelplatzrecher, oder hängt der im Netzwerk? Gehst du über eine DFÜ-Verbindung online? |
Zitat:
Nein er ist mit keinem andern rechner gekoppelt.... Ja gehe ich... |
BIn jetzt fertig mit 4! Übrigens Danke für die Hilfe |
Und du gehst über DFÜ-Verbindung online? Dann geh bitte in >Systemsteuerung >Netzwerkverbindungen. Dort müsste unter "DFÜ" die Verbindung aufgelistet sein, mit der du online gehst. Klick sie mit rechts an, wähle "Eigenschaften", dann Registerkarte "Erweitert", dort einen Haken setzen, um die XP Verbindungsfirewall zu aktivieren. Bestätige mit OK. Klappt das? |
Habe ich schon |
Das heißt, sie war bereits aktiviert? Seit wann? |
Weiß nicht etwa 1-2 monate würde ich schätzen. Evtl. auch länger. |
OK, dann erstmal diese Maßnahme vorziehen: http://www.dingens.org -> Programm laden (dingens.org/win32sec.exe), ausführen, "Einzelner Computer" markieren und mit "OK" bestätigen. Dann System neu starten und wieder hier melden. |
Ok, weiter im Text: deaktiviere die Systemwiederherstellung! Das geht so: http://www.systemwiederherstellung-d...indows-xp.html Starte dann nochmals HijackThis, setze Häkchen neben den folgenden Einträge und wähle "Fix checked": R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~2\WINDOW~2\WinSB.DLL O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0002.1001\de\msntb.dll O4 - HKLM\..\Run: [Winsock2] WINDOWS2.EXE O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe O4 - HKLM\..\Run: [agrkuwl] C:\WINDOWS\System32\eczbsuw.exe O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [Winsock4] SASEURHJ.EXE O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [lmv] C:\WINDOWS\lmv.exe O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...7002 f5b97a1db O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - ht*p://p1x.de/jinstall-1_4_2-windows-i586.cab Wie gesagt, diese markieren, "Fix checked" wählen, dann System neu starten, ein neues HijackThis-LogFile erstellen und hier posten. |
Nächste Schritte: 6.) Füge auch diese Dateien in den Quarantäneordner ein: nvms.dll mscb.dll msbe.dll 7.) Packe diesen ganzen Ordner mit den Dateien als Archiv und schütze dieses bei Erstellung mit dem Passwort "virus" (ohne Anführungszeichen). Sende dieses zip-Archiv mit den Dateien darin dann bitte an die in meiner Signatur angeführten Mailadressen. 8.) Lass eScan mit aktuellen Signaturen und gemäß der bebilderten Anleitung laufen: http://www.trojaner-board.de/42731-escan-anleitung.html Poste hier abschließend das eScan-LogFile. |
Diese 2 waren nicht vorhanden: O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE Ich Fixe jetzt und reboote.. |
Zitat:
|
Ja habe dingens-Tool ausgeführt... Logfile of HijackThis v1.98.2 Scan saved at 01:56:12, on 23.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\gearsec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\WindUpdates\WinUpdt.exe C:\Program Files\WindUpdates\WinKA.exe C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\Dokumente und Einstellungen\Oliver\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{AEA5BE7F-EBDB-4002-90D9-6FBBFCC8A88E}: NameServer = 217.237.150.33 194.25.2.129 |
Zitat:
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) -> Dem System fehlt es an Patches - einer der Gründe für den extremen Schädlingsbefall deines Systems. Die folgenden drei Prozesse im Taksmanager beenden: C:\Program Files\WindUpdates\WinUpdt.exe C:\Program Files\WindUpdates\WinKA.exe C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe Dann diese drei Dateien löschen! Wenn es im normalen Modus nicht klappt, lösch die im abgesicherten Modus. Diese Einträge fixen: O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" Dann nochmals neues HijackThis-Logfile erstellen. |
Zitat:
Ist das normal das wenn ich es öffne kein PW angefordert wird? |
So, ich bin jetzt erstmal offline - das Gröbste ist weg, ohne allerdings von einem sicheren, sauberen System sprechen zu können - dazu war es zu sehr verseucht. Du solltest es daher über kurz oder lang neu aufsetzen. Die genannten Punkte kannst du aber noch abarbeiten. |
Zitat:
|
ich habe die zip datei geschickt aber als ich sie geöffnet habe wurde kein passwort verlangt liegt das daran das ich es erstellt habe??? |
Also bei mir wird ein Passwort verlangt. Bei dir ist wahrscheinlich nur die Vorschau über das Packprogramm geöffnet - dazu braucht es noch kein Passwort! Wie auch immer: führe diese Dateien nicht aus - behalte sie zwecks Beweissicherung im zip-Archiv. Den Quarantäneordner selbst kannst du jetzt löschen, denn du hast ja die zip-Datei. |
Wenn ich mein eScan Log File kopier und hier einfügen will hängt sich der IE auf................................ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board