Hilfe bei Schädlingsbefall -ARCHIV-

[Habicht]

Hallo,

manchmal braucht mein Rechner beim Explorer-Öffnen einige Zeit, bis
alle Datei- und Laufwerksymbole angezeigt sind - und nicht nur beim
ersten Explorer-Aufruf. Es kommt auch vor, dass er dauernd Festplattenzugriff anzeigt,
ohne dass entsprechende Prozesse laufen...
Könnte Malware eine Ursache dafür sein? Ich habe das neueste Antivir
sowie Ad-Aware - beide finden im abgesicherten Modus nichts!
Da ich nur mit analogem Modem ins Netz gehe, kann ich zur Zeit mein
Win98 nicht updaten und beschränke updates auf die beiden oben genannten
Progs. Anbei noch ein Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 17:03:42, on 24.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v4.72 SP1 (4.72.3110.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.31\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA\MOZILLA.EXE
G:\SAUGER\REST\HIJACK\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O11 - Options group: [TB] Symbolleiste
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

Ins Netz gehe ich, wie oben aufgeführt, mit Mozilla. Hab nen
3000 AMD64 und 512 MB RAM in nem Abit AV8 Board! Das sollte
für eine zügige Explorer-Anzeige doch reichen...
Vielen Dank für eure Antwort und eure Mühe!
Gruß

 

[FiStOfTeRRoR]

Logfile of HijackThis v1.99.1
Scan saved at 11:39:54, on 26.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\PROGRAMME\FAXTALK COMMUNICATOR\FTCtrl32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRAMME\FAXTALK COMMUNICATOR\FAPIEXE.EXE
C:\sicherheit\hijack\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CallControl 4.5] C:\PROGRAMME\FAXTALK COMMUNICATOR\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MSN Updater] msnms.exe
O4 - HKLM\..\Run: [Smss] ssms.exe
O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\asgym.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\Run: [RpcxWindows Extensions] rpcxwinex.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [RpcxWindows Extensions] rpcxwinex.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\Run: [MSN Updater] msnms.exe
O4 - HKCU\..\Run: [Smss] ssms.exe
O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RpcxWindows Extensions] rpcxwinex.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKCU\..\RunServices: [RpcxWindows Extensions] rpcxwinex.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1\bin\npjpi141.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Update Manager (Update Manager ) - Unknown owner - C:\WINDOWS\system32\updmgr.exe (file missing)

danke fürs rüberschauen, und es ist eine gute Hilfe, besten dank
ihr habt euch echt mühe gegeben

 

[DoS.Grein]

@wArChIeF

Die Processe sind relativ sauber, ausser 2 kleinen Sachen:

1.) ctfmon.exe ist von OfficeXP und n Resourcenfresser, den du warscheinlich nicht brauchst, siehe hier

2.) mdm.exe steht im Verdacht spyware zu sein, die du ebenfalls nicht brauchst Process killen, file loeschen.


Jetzt zum Rest.

smss.exe kann der W32/Gismo-A Wurm sein, der taked diese Datei gerne mal. Den muesste Antivir eigentlich killen --> updaten und vollen Scan machen (testweise mal genau die Datei scannen).

rpcxupdtsys.exe wird gerne mal von Viren als shuttle benutzt, die auch auf JEDEN FALL scannen.

rpcxwinex.exe Ich hab keinen Plan was das sein soll.

Dann kannste die tolle startpage (die oberen 7 eintraege) fixen. Desweiteren gehst du anscheinend ueber einen Proxy ins netz, willst du das? Wenn nicht Eintrag #9 fixen. Eintrag #8 ist auch ueberfluessig --> fixen.

Danach mal neuen log posten, und vor allem sagen ob Antivir was gefunden hat!

 

[JoylesS]

hab antivir jetzt schon zichmal scannen lassen aber dieses smss.exe ding wurde bei mir nie als schädlich entlarvt

 

[Dork3]

hi hood wie siehts denn aus mit meinem log ?

und @ grein

icH hab auch mdm.exe bei mir ist das der machine debug manager von Microsoft in dem Ordner Mircosoft Shared

ist das wirklich spyware ? sollte ich dass dann auch löschen ?.?

 

[DoS.Grein]

Ich revidiere meine Aussage von eben /selfslap
smss.exe ist eigentlich der sitzungsmanager
Wird nur gerne mal von nem Virus getaked...

Post oben editiert.

@Dork:
Wie ich oben sagte, sie steht im Verdacht spyware zu sein, du kannste sie ja auch einfach mal deaktivieren und umbenennen. Wenns keine Probs gibt, archivier sie halt irgendwo hin...
Aber AFAIK hat die keinen wirklichen Sinn und dann wuerde mir der Verdacht alein zum loeschen reichen.

 

[Habicht]

Hi all,

was ist denn mit meinem log? Ist der sauber oder irgendwas verdächtiges?

Thx

 

[DoS.Grein]

Also ich seh nix bei dir, aber ich bin auch nciht son experte wie die andern, die den thread normal machen. Deswegen kann ich dir nciht garantieren, das du clean bist.

 

[Gast]

@habicht: dein win98 ist schlicht überfordert mit deiner hardware. leiste dir 2k pro oder xp.

@dork: du steckst ziemlich dick drin... ich weiss nicht, wie hood das sieht, aber an deiner stelle würde ich lieber reinen tisch machen und xp sp2 neu installieren. dann gleich die firewall anmachen und einen anderen virenscanner benutzen. meine empfehlung ist immer noch free-av.

 

[[For]Hood2]

Original geschrieben von Dork
hi hood wie siehts denn aus mit meinem log ?

Darf man nicht mal Osterurlaub machen.

Run HijackThis und mach einen Haken bei:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
Schliesse alle Fenster und Click auf Fix.

Wichtig Rebooten! Dann gehste surfen und machst danach wieder ein HijackThis log.
Schau mal ob Du diesen ordner hast:
C:\WINDOWS\isrvs\

wenn ja versuch ihn zu löschen

 

[[For]Hood2]

Original geschrieben von Habicht
Hallo,

manchmal braucht mein Rechner beim Explorer-Öffnen einige Zeit, bis
alle Datei- und Laufwerksymbole angezeigt sind - und nicht nur beim
ersten Explorer-Aufruf. Es kommt auch vor, dass er dauernd Festplattenzugriff anzeigt,
ohne dass entsprechende Prozesse laufen...
Könnte Malware eine Ursache dafür sein? Ich habe das neueste Antivir
sowie Ad-Aware - beide finden im abgesicherten Modus nichts!
Da ich nur mit analogem Modem ins Netz gehe, kann ich zur Zeit mein
Win98 nicht updaten und beschränke updates auf die beiden oben genannten
Progs. Anbei noch ein Hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 17:03:42, on 24.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v4.72 SP1 (4.72.3110.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.31\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA\MOZILLA.EXE
G:\SAUGER\REST\HIJACK\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O11 - Options group: [TB] Symbolleiste
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

Ins Netz gehe ich, wie oben aufgeführt, mit Mozilla. Hab nen
3000 AMD64 und 512 MB RAM in nem Abit AV8 Board! Das sollte
für eine zügige Explorer-Anzeige doch reichen...
Vielen Dank für eure Antwort und eure Mühe!
Gruß

Run HijackThis und mach einen Haken bei:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
Schliesse alle Fenster und click auf Fix.
Neustart.

Ok Download und run Ccleaner und versuch das mit Deinem Explorer noch mal. WEnn immer noch da ist. Öffne alle CD/DVD Rom Lw unmounte all virtuellen CD/DVD Lw und schau ob immer auftritt.

 

[[For]Hood2]

@wArChIeF and Grein:
Ich möchte Grein nicht reinreden aber da sind ein paar nette bolzen:
ssms.exe läuft als Dienst und wird daher nicht in HijackThis angezeigt!

Run HijackThis und mach einen Haken bei:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
O4 - HKLM\..\Run: [MSN Updater] msnms.exe
O4 - HKLM\..\Run: [Smss] ssms.exe
O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\asgym.exe
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\Run: [RpcxWindows Extensions] rpcxwinex.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [RpcxWindows Extensions] rpcxwinex.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\Run: [MSN Updater] msnms.exe
O4 - HKCU\..\Run: [Smss] ssms.exe
O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKCU\..\Run: [RpcxWindows Extensions] rpcxwinex.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKCU\..\RunServices: [RpcxWindows Extensions] rpcxwinex.exe
O23 - Service: Windows Update Manager (Update Manager ) - Unknown owner - C:\WINDOWS\system32\updmgr.exe (file missing)
Schliesse Alle Fenster und klicke auf Fix
Reboot und poste ein neues Log

 

[DoS.Grein]

Hood, du kannst mir hier gerne reinreden, du kennst dich sicher besser aus als ich, ich sag nur was, wenns mir ins auge springt (trojs, etc.). Ich sehe meine posts nicht als abschliessende loesung, sondern eher als filter um schon mal das groebste rauszusortieren.

 

[[For]Hood2]

Normalerweise mache ich das nicht aber er ist ja voll mit dem Zeug...

Hast Dich ja lange nicht sehenlassen. Schau mal wieder bei uns ins Forum

 

[DerTotmacher]

@ Hood

Wohin sollte mich der Link http://a-sap.org/ normalerweise führen? -Bei mir geht er nicht.

 

[Acryl]

was fürn viren scanner würde man sich eigentlich am besten KAUFEN ?

 

[[For]Hood2]

Der Server zieht um, Hab den Link korrigiert

 

[[For]Hood2]

Original geschrieben von Acryl
was fürn viren scanner würde man sich eigentlich am besten KAUFEN ?

Keinen.






Oder wenns denn halt sein muss:
Kapersky 5.x
Bitdefender
Gdata (benutzt Kap4.8x und Bitdefender, braucht aber ne Höllenmaschine)

 

[DerTotmacher]

Hmmm G-Data hab ich nicht. Ich hätte aber hier Bitdefender und Kasp. in den angegebenen Versionen.

Ich schätze aber mal es ist nicht ratsam beide paralell zu installieren

Was tun erst einen installen-scannen-danach deinstallieren und nächsten?
Oder kann man doch beide parallel installiert haben?

Oder einen von beiden auf Laptop installieren und dann vom Laptop aus scannen?

Grützi.

 

[DoS.Grein]

Gibt es irgendwas, was du an AntiVir nicht magst?

2 Virenscanner parallel ist schlecht, da sich die systemdienste haeufig stoeren (i.e. die virenguards, die im hintergrund laufen). Von nem anderen System aus scannen ist immer nett, wenns geht.

 

[DerTotmacher]

Ja.
Bei mir war es immer so, dass wenn ich Antivir geupdatet hab sich das ganz Programm irgendwie neuinstalliert hat. Das war nie ne simple update Datei sondern gleich das ganze Programm in ner neuen Version. War unbequem

...und nachdem ich Kasp und Bitdefender zur verfügung hab... dachte ich ich frag mal nach.
Der einzig relevante Punkt für mich ist die Qualität. Wenn Du mir sagst das die Antivir Engine besser ist als die von Kasp oder Bitdef. dann bleib ich dabei. Solltes dies nicht der Fall sein wähle ich den bequemeren Weg

 

[DoS.Grein]

Ich bin nciht experte genug um zusagen welche engine jetzt besser ist, und ich glaube auch nicht, dass die sich viel nehmen.

Antivir installiert sich immer dann kopmplett neu, wenn das programm an sich n update erfaehrt, nicht wenn du blos die virendefinitionen updatest oder die engine. Das kommt bei antivir halt oefter vor als bei anderen AVs, weil die ja auch fuer jede neue version kohle sehn wollen...

 

[Gast]

antivir ist schon recht gut.
produkte von norton & co sind zu meiden - geschickte würmer legen die scanner dann einfach mit lahm.
das heisst nicht, dass das mit antivir nicht auch passieren könnte, aber die chance ist schonmal so um 1:50 kleiner.

 

[Fuser]

Die üblichen Probleme, Pop-Ups, Werbung.. Trojaner die immer mal wieder gefunden werden...

Logfile of HijackThis v1.99.1
Scan saved at 22:06:27, on 29.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\switpa.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
D:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O1 - Hosts: www.jamba.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_3_12_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\VIRENB~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_3_12_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe
O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Esaxxhw] C:\Program Files\Uwejc\Yjjktwq.exe
O4 - HKLM\..\Run: [robyhet] C:\WINDOWS\robyhet.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Virenbekämpfung\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Word\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Word\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1106602722482
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/alien.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62759CDC-F259-486F-B794-9A94FF1C92DE}: NameServer = 213.191.92.86 213.191.74.19
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

[DerTotmacher]

Original geschrieben von mAiLmAn
antivir ist schon recht gut.
produkte von norton & co sind zu meiden - geschickte würmer legen die scanner dann einfach mit lahm.
das heisst nicht, dass das mit antivir nicht auch passieren könnte, aber die chance ist schonmal so um 1:50 kleiner.

ohne jetzt nerven zu wollen was fällt den in die Kategorie "& co" ?

 

[DerTotmacher]

na gut, dann lass ich jetzt auch mal die Hosen runter
Logfile of HijackThis v1.99.1
Scan saved at 20:38:40, on 30.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\programme\Asus\Probe\AsusProb.exe
C:\Programme\HHVcdV6Sys\VC6Play.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Virtual CD v6\System\VC6Tray.exe
F:\___Anwendungsprogramme___\Antivirus\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ASUS Probe] c:\programme\Asus\Probe\AsusProb.exe
O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Acronis_Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe




-Bit Defender hab ich eigentlich mit msconfig deaktiviert. Ist der jetzt immer noch an?
-Es gab doch da auch mal so eine HP wo mein sein Hyjack this log reintun konnte. Und der bot einem dann erklärt hat was was ist. Und obs besser ist was dagegen zumachen... hat wer den Link?

Grützi

 

[[For]Hood2]

Bitdefender und Kapersky sind um längen besser wie Antivir.
Wenn Du Bitdefender hast dann bleibt dabei.

Dein Log ist sauber. Du solltest auf Sp2 updaten.

Wie gut ist der Acronis Popup Blocker? Kenn den nicht.

 

[[For]Hood2]

@Fuser

ALs erstes klickst Du mit rechts das Teatimer symbol unten rechts neben Deiner UHr und wählst Beenden. Teatimer kann den das folgende behindern. Es wird beim nächsten Start wieder sein. (was es auch soll)

Start HijackThis und mache einen Haken bei:
O1 - Hosts: www.jamba.de
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [Esaxxhw] C:\Program Files\Uwejc\Yjjktwq.exe
O4 - HKLM\..\Run: [robyhet] C:\WINDOWS\robyhet.exe
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.media-motor.net/cabs/alien.cab
Schliesse alle Programme und click auf Fix.

Neustart.
Lösche folgende Dateien:
c:\windows\180ax.exe
C:\WINDOWS\switpa.exe
C:\Program Files\Uwejc\Yjjktwq.exe
C:\WINDOWS\robyhet.exe

Download Adaware, mach das update nach der installation. Disconnect vom Internet und perform a full system scan.

Neustart

Poste ein neues HijackTHis log

 

[Gast]

Original geschrieben von DerTotmacher



ohne jetzt nerven zu wollen was fällt den in die Kategorie "& co" ?

wieso nerven?

norton, symantec, dr. sophos, powerquest... dieser ganze kram eben. da gibts etliche trademarks inzwischen, die kaufen ja alles platt.

 

[DerTotmacher]

Thx Hood.
Der PopUpBlock arbeitet sehr sauber. Hab da noch nix störendes bemerkt. Macht halt seine Arbeit
Das Ding ist einfach in der Acronis Privacy Suite dabei.
Und diese habe ich drauf, um Daten sicher zu löschen.
Privacy Suite vereinigt ne ganze Menge in sich:
sowas wie Adaware,Pop-Up-Blocker,Prog zum sicher löschen von Daten/Festplatten.
Ist aber im allg. mir zu sehr auf den IE ausgerichtet. Der "Passwortlöscher" löscht z.B. nur verwendete Dateien/Passwörter aus dem IE nicht aber aus dem Feuerfuchs oder Opera.

Auf SP2 update ich nicht, das hab ich vor 2Monaten gemacht mit der Heise CD, danach ging gar nix mehr. Nicht mal mehr deinstallation des SP2.-Von daher: bin gebranntes Kind

Zum Log: Seh ich das richtig das Bitdefender noch irgendwo rumwerkelt? Obwohl ichs eigentlich ausgeschaltet hab?

Zum Virenkillerzeuchs an sich:
Wie gesagt hab Bitdef. oder Kasp. zur Auswahl...
Wäre es geschickt z.b. Auf m PC Bitdef. und auf dem Laptop Kasp. zu installen. Und dann vom jeweiligen Fremdsystem aus zu scannen?

Grützi

 

[DerTotmacher]

Original geschrieben von mAiLmAn


wieso nerven?

norton, symantec, dr. sophos, powerquest... dieser ganze kram eben. da gibts etliche trademarks inzwischen, die kaufen ja alles platt.

Keine Ahnung Weil ich scheinbar des öfteren hier Fragen stelle die für IT´-begabtere recht simple zu seinen scheinen.
Norton verhält sich nen bischen wie MS?

Apropos MS...haben die eigentlich vor mal nen Virenkiller zu implementieren oder sowas anzubieten?

Und noch mal was ich schon gefragt hatte:
"-Es gab doch da auch mal so eine HP wo mein sein Hyjack this log reintun konnte. Und der bot einem dann erklärt hat was was ist. Und obs besser ist was dagegen zumachen... hat wer den Link?"

Grützi.

 

[[For]Hood2]

Original geschrieben von DerTotmacher
Thx Hood.
Der PopUpBlock arbeitet sehr sauber. Hab da noch nix störendes bemerkt. Macht halt seine Arbeit
Das Ding ist einfach in der Acronis Privacy Suite dabei.
Und diese habe ich drauf, um Daten sicher zu löschen.
Privacy Suite vereinigt ne ganze Menge in sich:
sowas wie Adaware,Pop-Up-Blocker,Prog zum sicher löschen von Daten/Festplatten.
Ist aber im allg. mir zu sehr auf den IE ausgerichtet. Der "Passwortlöscher" löscht z.B. nur verwendete Dateien/Passwörter aus dem IE nicht aber aus dem Feuerfuchs oder Opera.

Auf SP2 update ich nicht, das hab ich vor 2Monaten gemacht mit der Heise CD, danach ging gar nix mehr. Nicht mal mehr deinstallation des SP2.-Von daher: bin gebranntes Kind

Zum Log: Seh ich das richtig das Bitdefender noch irgendwo rumwerkelt? Obwohl ichs eigentlich ausgeschaltet hab?

Zum Virenkillerzeuchs an sich:
Wie gesagt hab Bitdef. oder Kasp. zur Auswahl...
Wäre es geschickt z.b. Auf m PC Bitdef. und auf dem Laptop Kasp. zu installen. Und dann vom jeweiligen Fremdsystem aus zu scannen?

Grützi

Hm also 0815 IE popup blocker.

Die Frage ist war Dein PC vorher gecheckt worden oder hattest Du Adware/Bots/Viren drauf? Dann kann das mit dem Sp2 schon vorkommen. Da Du sicher neuinstalliert hast sollte das Sp2 kein Problem darstellen. Kurz über lang wirst Du es tun müssen.

Ich seh die Bitdefender Dienste noch laufen. Du hast nur den sichtbaren teil des Wächters ausgeschaltet. Du solltes den wieder einschalten.

Kann man machen, ob es dadurch besser wird? Auf jedenfall langsamer. Immer daran denken das beim scannen übers Netzwerk immer der lokale Wächter dazwischen fummelt. Dann kannste auch gleich 2 Antiviren programme installieren. Eins reicht und das schön updaten.

MS plant tatsächlich IRGENDWANN eine Antivirus Software raus zubringen. Wahrscheinlich mit Longhorn.

Du meinst HijackThis.de. Meine Empfehlung gibt das nicht. Und wenn immer nur die roten wegmachen.

 

[DerTotmacher]

Ich danke Dir.

Ja ist im groben ein 0815 IE Blocker wenn man nen anderen Browser hat bringt der nix. Ich hab den halt zum löschen von Dateien

Ok, dann lass ich einfach Bitdef. weiterarbeiten. Die Interne Bitdef-Firewall kann ich ausschalten wenn ich hinter nem Router bin gell?

Zum SP2...das hab ich damals im Zuge einer Neuinstallation mit draufgemacht... also in der ersten Stunde des neuen Systems... und hat mir die Neuinstallation kaputt gemacht. SP2 war nicht verseucht schätze ich mal wenns von der CT war.


Naja mal sehen vielleicht probier ichs nochmal...aber etwas nervös bin ich dann schon.

Aber wofür ist es gut? Ich meine Virenkiller hab ich nen eigenen.
Ne Firewall bietet mein Router
Updates kann ich mir auch so bei MS ziehen.
Spyware krieg ich auch so weg.

Und was ich in der CT gelesen hab ist das Sicherheitscenter sowie so nur nen schlechter Witz.

Das einzige wo ich evtl sehe das ichs brauchen werd, ist bei zukünftigen Programmen, die vielleicht darauf aufbauen??

Naja wäre nett wenn Du kurz sagst wofür ich das brauchen werd.

Grüße & Gute Nacht.

Ciao bis Morgen.

 

[Fuser]

Vielen Dank schonmal, hier das Neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:10:57, on 31.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
D:\Programme\AntiVir\AVGNT.EXE
D:\Programme\Virenbekämpfung\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_3_12_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\VIRENB~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_3_12_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe
O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Virenbekämpfung\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Word\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQLite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Word\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1106602722482
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{62759CDC-F259-486F-B794-9A94FF1C92DE}: NameServer = 213.191.92.86 213.191.74.19
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

[[For]Hood2]

@Fuser

Noch immer popups?

 

[[For]Hood2]

Original geschrieben von DerTotmacher
Ich danke Dir.

Ja ist im groben ein 0815 IE Blocker wenn man nen anderen Browser hat bringt der nix. Ich hab den halt zum löschen von Dateien

Ok, dann lass ich einfach Bitdef. weiterarbeiten. Die Interne Bitdef-Firewall kann ich ausschalten wenn ich hinter nem Router bin gell?

Zum SP2...das hab ich damals im Zuge einer Neuinstallation mit draufgemacht... also in der ersten Stunde des neuen Systems... und hat mir die Neuinstallation kaputt gemacht. SP2 war nicht verseucht schätze ich mal wenns von der CT war.


Naja mal sehen vielleicht probier ichs nochmal...aber etwas nervös bin ich dann schon.

Aber wofür ist es gut? Ich meine Virenkiller hab ich nen eigenen.
Ne Firewall bietet mein Router
Updates kann ich mir auch so bei MS ziehen.
Spyware krieg ich auch so weg.

Und was ich in der CT gelesen hab ist das Sicherheitscenter sowie so nur nen schlechter Witz.

Das einzige wo ich evtl sehe das ichs brauchen werd, ist bei zukünftigen Programmen, die vielleicht darauf aufbauen??

Naja wäre nett wenn Du kurz sagst wofür ich das brauchen werd.

Grüße & Gute Nacht.

Ciao bis Morgen.

Bald werden die Sicherheits updates Sp2 vorraussetzen.
Wenn Du Sp2 drauf hast haben Viren/Spyware weniger Chancen überhaupt rauf zu kommen.
Das Sicherheitscenter ist doch nur was zum ansehen für den Normaluser. Wichtig sind die X geschlossenen Lücken in Windows/IE etc und die bleiben zu selbst wenn das Center nicht läuft.

Hm die Frage ist warst du vorher im Internet bevor Du das Sp2 installiert hast? Hattest Du eine andere Firewall am laufen? Wenn nein weiss ich warum Du trouble hattest.

Bevor Du jetzt los legst mach folgendes VORHER.
Update deine Sicherheitssoftware und mache einen System mit Bitdefender und Adaware. Finden die nichts, mach start/ausführen/msconfig System wiederherstellung und erstelle einen Wiederherstellungpunkt.

Wenn Du keine Standardhardware benutzt erkundige Dich vorher beim Hersteller wegen Probleme. Update Deine Treiber und Software wegen etwaiger Probleme.

Wenn Du das beachtest solltest Du keine Probleme haben.
Tauchen doch welche auf solltest du in den abgesicherten Modus in der Lage sein Das Sp2 wieder zu deinstallieren. Dann allerdings hast Du irgendwann ein Problem. Du solltest es herrausfinden warum das passiert. Allerdings glaub ich nicht daran wenn Du das die paar Sachen beachtest das du Probleme bekommst.

 

[DerTotmacher]

Hallo Hood.

Schön von Dir zu lesen

Ok zum Punkt.
Ich hatte den Rechner vorher im nicht Netz.
Hatte Ihn denoch geupdatet mittels der einer CD die alle Updates enthielt. Gab da mal vor ein paar Monaten so eine Selbstbau CD Anleitung in der CT -erinnerst Dich? da konnte man ein Script programmieren das alle Updates einbindet. _offline. Praktische Sache

Aber ansonsten. Inet Verbindung bestand nicht. Und nen Wiederherstellungspunkt hab ich nicht erstellt gehabt

Werd mich mich das Wochende nochmal ranwagen. Nachdem sich jetzt eh ein paar Komponenten Geändert haben.

Vielen Dank erstmal.

Ich meld mich aufjedenfall hier obs geklappt hat. -Wenn nicht dann sowieso

Also n8
-Oliver

 

[Fuser]

Original geschrieben von [For]Hood
@Fuser

Noch immer popups?

Nur in Ausnahmefällen, aber prinzipiell stört mich das nicht mehr, vielen Dank Problem ist, bei einigen Seiten muss ich die Pop-Up-Blocker ausstellen, weil gewisse Pop-Ups dann doch wichtig sind (zB Hansenet-Login). Aber das krieg ich schon hin, danke für die fixe Hilfe :hy:

 

[Avaloner]

Könnt ihr eine Firewall, kostenlos natürlich, empfehlen um noch im BT zu spieln? Ich hab zwei drauf, aber die erste kickt mich nach einigen Minuten im Spiel, auch wenn ich alle einstellungen auf niedrig habe und nur dialer und co weggeblockt werdn sollen und Starcraft auch "freie Hand" hat, heißt übringens firewall x-treme von stompsoft. Nun dann hab ichs mit Zonealarm versucht, klappte früher noch, nun aber das lässt Starcraft nichtmal connecten und hängt sich sogar auf während es einen gateway abfragt, auch wiedermals hat Starcraft allle möglichen Rechte.

Nun habt ihr vielleicht einen Tip, denn ohne firewall ist mein Pc in wenigen minuten voller popups und malware und sonstigen zeug.

 

[Gast]

gegen den scheiss helfen updates, keine firewall.
empfehlungen stehen übrigens oben: kerio oder sygate.