Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ksyqlaty.exe (https://www.trojaner-board.de/9567-ksyqlaty-exe.html)

Schwarzangler 14.11.2004 10:53
ksyqlaty.exe
 
Hallo Leute,

dieses was auch immer versucht seit einer Stunde in mein System zu kommen. Was ist das? Wie wird man es los?????

Gruß Schwarzangler

ZERO 14.11.2004 11:02
Hallo

Wie meinst du das ? es versucht auf dein system zu kommen??

Lad dir hijackthis runter www.hijackthis.de erstelle ein log und poste es hier!

Schwarzangler 14.11.2004 11:15
so ganz habe denen Rat nicht verstanden, adaware brachte mir dieses Ergebnis:
14.11.2004 10:48:47 - Registrierungsmodifikation entdeckt.
Root:HKEY_LOCAL_MACHINE
Schlüssel:Software\Microsoft\Windows\CurrentVersion\Run
Wert:wtnumse
Daten:
Neue Daten:G:\WINDOWS\system32\ksyqlaty.exe

Versuch den Autostart-Bereich zu modifizieren (Blockiert)

??????????????

Schwarzangler

ZERO 14.11.2004 11:24
Also dann erklär ichs dir!

Du gehst auf die seite www.hijackthis.de gehst da auf direcktdownload und schon hast du hijackthis.

Dann startest du hijackthis gehst rechts unten auf scan und wartest bis er fertig ist!
Dann gehst du auf Save Log und Postest per copy&paste das ergebnis hier im Forum.

Hoffe jetzt weißt du was ich meine

Schwarzangler 14.11.2004 11:33
Superproggy,

das Einzige, was ich nicht zuordnen konnte:

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCECFB43-DF2B-4407-8418-C4A1C2C789B6}: NameServer = 192.168.0.1

Hilft das irgendwie? Der Rest waren normale Programmaufrufe usw. usf.

Gruß Schwarzangler

ZERO 14.11.2004 11:38
Poste bitte das ganze LOG damit wir dir helfen können!

Laß die datei G:\WINDOWS\system32\ksyqlaty.exe hier
auf maleware untersuchen und poste dann das ergebnis hier!

Schwarzangler 14.11.2004 11:47
Da ist es
Logfile of HijackThis v1.98.2
Scan saved at 11:42:14, on 14.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
T:\Nero\InCD\InCDsrv.exe
G:\WINDOWS\Explorer.EXE
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
G:\PROGRA~1\SYMANT~1\VPTray.exe
G:\WINDOWS\system32\CTHELPER.EXE
G:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
G:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
G:\Programme\Symantec AntiVirus\DefWatch.exe
T:\Nero\InCD\InCD.exe
G:\WINDOWS\SYSTEM32\GEARSEC.EXE
G:\WINDOWS\system32\ezSP_Px.exe
Q:\Logitech\MouseWare\system\em_exec.exe
G:\WINDOWS\system32\nvsvc32.exe
H:\SmartPic\SmartPic.exe
G:\Programme\Symantec AntiVirus\Rtvscan.exe
Q:\Lavasoft\Ad-aware 6\Ad-watch.exe
H:\Firebird\MozillaFirebird.exe
N:\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - G:\WINDOWS\localNRD.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - G:\WINDOWS\system32\msbe.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - Q:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] G:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Jet Detection] G:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] G:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] G:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] T:\Nero\InCD\InCD.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] G:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LaunchList] M:\Pinnacle\Studio 9\LaunchList.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] H:\Purgatio Pro\checker.exe /check
O4 - Global Startup: Ad-Watch.lnk = Q:\Lavasoft\Ad-aware 6\Ad-watch.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCECFB43-DF2B-4407-8418-C4A1C2C789B6}: NameServer = 192.168.0.1

Die Datei kann ich nicht testen lasse. Hatte sie schon mit adaware entfernt.

Schwarzangler

ZERO 14.11.2004 11:57
Sieht gar nicht so schlimm aus!

Die einträge solltest du aber unbedingt Fixen, und dann die dateien Manuell löschen! Das ganze mußt du im abgesicherten Modus bei deaktivierter systemwiderherstellung machen!

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - G:\WINDOWS\localNRD.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - G:\WINDOWS\system32\msbe.dll


Die hier kannst du auch gefahrlos Fixen wenn du sie nicht brauchst!
O8 - Extra context menu item: Easy-WebPrint Drucken - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Vorschau - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://Q:\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe

Du solltest vielleicht auch auf einen anderen Browser umsteigen! (z.b. Firefox)

Schwarzangler 14.11.2004 12:12
Dank für die Hilfe,

gewöhnlich arbeite ich mit Firefox, nur bei Darstellungsproblemen mit IE.
Und schwupp hat man Mist auf dem Rechner.

Schönes Wochenende & schönen Dank

Schwarzangler


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131