Hilfe bei Schädlingsbefall -ARCHIV-

[Ronschk]

erstma danke das du es immernoch nicht satt hast mir zu helfen
also hab C , D und E ich würde das eigentlich gern so machen:
C: Windows
E: Spiele+Eigene Datein (Lieder, Bilder, Texte etc.)
D: Programme (Spybot, Antivir Hijack etc)

denke/hoffe ma das das so ganz gut is (denke das sonst zu viel durcheinander kommt)
so hab jetzt nochma s&d runtergeladen und jetzt überprüft es meinen pc auch richtig (vorm formatieren hat er nur ca. 50 datein überprüft) Antivir lade ich jetzt schon zum 3. ma runter weil immer wenn ich überprüfen wollte , das "programm ein fehler gefunden hat und beendet werden muss"... naja denke das wir aber noch....
noch ne frage... als ich vor ein paar monaten (oder nem jahr ka) den pc formatiert habhat mich mein pc direckt auf updates hingewiesen die ich machen kann /soll... jetzt ist das nicht so... soll ich jetzt einfach nur SP2 runterladen und damit hast sich das dann?


zu den sachen die du bei vorletztn post geschrieben hast:
woher bekom ich diesen spywareblaster?
soll ich mir irgenteine bestimmte firewall saugen? wenn ja woher?
naja und windowsups.. sind also nicht das gleiche wie SP2? (sry wenn ich so dumm bin)

 

[[For]Hood2]

Also das partitionieren ist schon ok, wenn Deine HD groß genug ist. C: sollte nicht unter 10GB sein.

Warum soll Ich Dir nicht helfen? Ich hege immer noch die Hoffnung das irgendwann einmal jeder sich um die Sicherheit seines PC bemüht.

Antivir lade ich jetzt schon zum 3. ma runter weil immer wenn ich überprüfen wollte , das "programm ein fehler gefunden hat und beendet werden muss"... naja denke das wir aber noch

Hm Also wie sag ich es Dir am schmerzvollsten, Du hast Dich wahrscheinlich mit was infiziert, weil du kein SP drauf hast oder Dir einige Patches für Dein Win fehlen. Aber das bekommen wir in den Griff

Also download aber nicht installieren.

Dann machst Du einen Neustart in den abgesicherten Modus!

Im abgesicherten Modus installierst Du dann den Antivir und läßt ihn scannen.
Wenn er fertig ist neustarten und BEVOR Du Dich mit dem Internet verbindest(selbst wenn Du dafür das Kabel ziehen musst!) gehst Du auf Deine DFÜ Verbindung mit der Du Dich einwählst mit der rechten Maustaste, wählst Eigenschaften, Registerkarte erweitert und schaltest die Firewall ein.

Dann machst Du ein Hijackthis Log postet das hier und während ich mir das angucke, downloadest das SP2 welches fast alle patches enthält und von hier http://www.javacoolsoftware.com/spywareblaster.html Spywareblaster, welches Du gleich installieren dann updaten und mit Protection ->enable all schonmal ein wenig Sicherheit reinbringst.

Wenn Dein Log clear ist, kannst Du SP2 installieren.

Edit typos entfernt

 

[Ronschk]

ui ok... habs gerade eben schon gedownloadet und installed und gesacannt.... d+e hat er problemlos gemacht aber nach ca. 7000 datein von C kam dann diese meldung wieder... naja werde das dann ma machen......
THx nochma

P.S. ähmm c ist lange nicht 10 gb groß... gerade ma 2,41 -.- (is eben ein sehr sehr sehr alter pc den ich nur zum SC+Diablo spielen und internet gehen verwende...)

 

[Ronschk]

so hab das im abgesichterm modus gemacht..... aber auch dann kommt nach ein paar 1000 datein "antivir hat ein problem festgestellt und muss beendet werden" ..... würdes das helfen wenn ich das nochmal amche und genau darauf auchte WANN der fehler kommte? und wenn nicht... was soll ich jetzt machen?

 

[[For]Hood2]

Windows XP mit Sp2 braucht für sich schon 2GB

 

[Ronschk]

tjo... dann wären dann ja noch 400 mb drauf
ach ja... und musste ich mit antivir neu dln? oder konnte ich das alte da lassen (die exe mit der ich installiere)

 

[Ronschk]

ach übrigens bisher sagt mein hijack das:

Logfile of HijackThis v1.98.2
Scan saved at 19:58:36, on 24.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Antivir\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Antivir\Antivir\AVGUARD.EXE
D:\Programme\Antivir\Antivir\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\Spybot S&D\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\Antivir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CECFBBF-2D57-49EB-9B02-DCAAB44F8DC0}: NameServer = 217.237.150.97 217.237.149.161

ich weiß 3 sachen sind da von nicht so brauschend..... aber ich denke das 1. bekomme ich durch die win ups weg... und soll ich die anderen beiden fixen? wenn ja... passiert da dann auch nichts mit meinem pc? ich mein geht der kaputt oda so.....?

Edit: hab jetzt nochma mein antivir geuppt.... soweit ich weiß ist es ganz durchgelaufen...... ich machs sicherheitshalber noch einmal....... (jetzt aber im abgesichtertem modus)

 

[[For]Hood2]

Es wäre schön wenn Du mir schreiben würdest ob Du die Win interne Firewall an hast oder nicht

Na brauchst kein Virenscan zu machen. Jetzt aber die WIndows updates, wenn es geht Sp2 und den danach den aktuelllen IE Patch ziehen.

Dein Log ist clean

 

[Ronschk]

oh sry ich dachte das hätte ich... ja ich habe sie an.... (ist ja auch schon von anfang an so eingestellt)
soo..... hab den post erst jetzt gelesen... hab also vorher schon im abgesichtertem modus gestartet und Antivir+ s&d durchlaufen lassen..... bei s&d wurden nur 3 einträge von DSO-Exploid oda so) gefunden... denke aber das das keine große sache ist.... werde dann nu ma SP2 runterladen...

aber was ist IE Patch? (vielleicht... Internet exloprer?) wenn ja wo bekomm ich den her?

jut das mit dem log

 

[[For]Hood2]

Ein Patch ist ein update für eine Software.
IE ist wie Du vermutet hast der Internet Explorer

Nach dem Sp2 ist ein update erschienen der einige Fehler im Internet Explorer behebt. Welche man auch dann installieren sollte wenn man diesen nicht benutzt!
Windowsupdates bekommt man bei Microsoft: http://windowsupdate.microsoft.com/

Den DSO Exploit kannste du ignorieren, der entsteht durch einen Fehler im Programm

 

[Ronschk]

soo ok sauge mir dann ma gerade SP2...
hoffe es ist nicht schlimm wenn ich es nicht von Mircosoft runterlade.... habs von cip.de oda so........ naja wird jetzt noch einige stunden dauern (hab auf lowspeed gemacht weil ich flatrate Nr (oda so) nicht kenne.....
naja.. auch egal... wenn er fertig is denke ich ma muss iche infach installen......... schreib bitte wenn ich auf irgentwas besonderes auchten mussin irgentwohin kopieren muss etc.....
wäre sehr plöde wenn ich 9 std um sonst dle


danach hätte ich dann:

1. antivir
2. S&D
3.Spywareblaster
4.Hijack
5.SP2
6. (kommt noch) IE Update

wars das oder muss ich mir noch irgentwas zulegen?

THXX denke dieses ma wird mein pc bissel besser laufen und nicht ständig mit viren und trojandern oder sonstiem müll zugelagert sein

 

[[For]Hood2]

ich würde solche sachen nie von "irgendwelchen" Seiten runterladen
warum nicht direkt hier
http://www.microsoft.com/downloads/...be-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
MS hat schnelle und verfügbare Server

Dann dauert das auch keine 9stunden sondern du ziehst hier mit DSL fullspeed!

danach benutze Windows update

 

[Ronschk]

mein bruder meinte ich sollte das nicht runterladen weil das für IT speziallisten ist (hat mich auch erst ein bisschen stutzig gemacht...)
naja.... da war dann noch so etwas womit am pc die updates automatscih runtergeladen werden... das hab ich dann mal gemacht und bin jetzt dabei die updates zu dln bzw zu installen...
mein bruder meinte da wären auch schon die sachen vom SP2 dabei.. wenn nicht: soll ich dann das SP2 für IT speziallisten nehmen?? oder was sonst?

Edit: sh schon ok hat mir jetzt SP2 angeizeigt.... dl ich gerade

 

[Ronschk]

fuck habe jetzt nurnoch 85 mb auf c...... hab auch keine temp files.... denke das liegt dann an SP2... hab mir überlegt vielleicht D und C zusammen zuschließen (wenn das geht) hätte dann wieder etwas mehr als 1,5 gb frei..... ich weiß nur nich wie das geht.. ist aber denke ich ma wichtig weil es das ja auch nicht bringt sich alle möglichen tollen ups runterzuladne aber dann zu wenig arbeitspeicher zu haben... wenn ich die zusammenschließen kann muss ich dann Pc nochmal formatieren? oder reicht es d zu formatieren? oder muss ich nichts vn beiden machen??? wäre echt net wenne mir ne anleitung geben kannst (dann bin ich endlich bald fertig mit dem pc )


Edit: gut mein bruder hat mir das gerade ma gesagt... also neu formatieren und dann alles nochma neu -.- naja bis denne werde jetzt wieder formatieren....

 

[[For]Hood2]

naja es gibt schon andere möglichkeiten.....

Aber Übung macht den Meister

 

[Ronschk]

wow das du trotz sowelchen honks wie mir immernoch so gute laune haben kannste....

also bisher getan:

1.formatiert+ 2 partitionen zusammengeschmissen (nurnoch 2 gb für spiele )
2. prog geholt das win ups macht
3.ups runtergeladen (normale ups + SP2)
4.diese installiert
5.Antivir installiert + geuppt
6.Spywareblaster installiert
7.Spybot installiert + geuppt
8.Hijack geholt
9.Antivir durchlaufen lassen (keine funde)
10. Spybot durchlaufen lassen (nur DSO-Exploid... also nix)
11.mit Spywareblaster das gemacht was du gesagt hast (was macht das ding eigentlich? )
12. Hijack laufen lassen [hier die daten]

Logfile of HijackThis v1.98.2
Scan saved at 21:32:21, on 25.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Antivr etc\Antivir\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Antivr etc\Antivir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Antivr etc\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\Antivr etc\Antivir\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Antivr etc\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Antivr etc\Spybot\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Antivr etc\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Antivr etc\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1098707376562
O17 - HKLM\System\CCS\Services\Tcpip\..\{399564F3-52A3-4990-84DD-4C2742DACC74}: NameServer = 217.237.150.97 217.237.149.161

12. werde ich gleich noch Spywareblaster uppen (hat gerade eben net gefunzt)
13. IE Patch holen (wenne mir sagen würdest woher.... )

so jetzt wäre erstma das angebracht :
DANKÖÖÖÖÖ

jetzt kann ich schon selber bissel mit pc umgehen

soo.... THXX nochma..

ach ja... und firewall is natürlich an

 

[[For]Hood2]

Also eines der Haupteinfalltore von Spy/adware und auch Trojaner ist ActiveX. ActiveX ist eine Scriptsprache die nur der IE spricht und es ermöglicht Webseiten aktiv etwas auf Deinem PC zu tun, ähnlich wie Javascript. Erstmal gibt es dagegen nichts einzuwenden, solange das nicht missbraucht wird. Leider hat der IE mehr Fehler wie die Welt Flöhe und daher ist es ein leichtes Dir durch ActiveX etwas unterzuschieben. Da setzt Spywareblaster an, denn MS hat ActiveX etwas mitgegeben was tatsächlich Sinn macht: Das Killbit. Spywareblaster führt zum einen eine Liste "schlechter" ActiveX scripts und der IE schaut in diese Liste BEVOR er sie ausführt. Sollte sie in dieser Liste sein werden sie verworfen und nicht ausgeführt. Es ist eine Funktion des IE und daher nimmt Spywareblaster keinen Arbeitsspeicher sondern nur ein paar Kb auf der HD.
Zum 2ten führt Spywareblaster eine Liste "schlechter"Webseiten welche nicht aufgerufen werden können.

Den IE Patch bekommst du wenn du auf Windows update gehst. Unter alle Programme solltest du eine Verknüpfung haben. ansonsten klickst du hier:
http://windowsupdate.microsoft.com/

unter wichtige/security updates findest du alles was du brauchst.
Das solltest Du einmal im Monat machen. und zwar regelmäßig!
Ich empfehle den 2ten Donnerstag jeden Monats.

Dein Log ist sauber

Ein Wort zum Teatimer: Das tool hat beta status und macht manchmal Probleme, auf keinen Fall solltest du den haken bei "merke diese Entscheidung" machen, dann dann erlaubt er alles egal was Du später auch klickst. :/ Du solltest das Teil evt auschalten.

Ich freue mich Dir geholfen zu haben und hege die Hoffnung das Du Deine Erfahrung weitergibst, vorallem in Bezug auf die Schutzsoftware.

 

[Ronschk]

Kloa werd ich das
ich war in dem moment als ich das gemacht hab ein bisscehn verwirrt... ich dachte es wäre so das er meine entscheidung speichert so das ich wieder auf sie zurück greifen kann
naja... ich denke werde dann spybot nochmal kicken und neu ohne tea timer installen..... (oder kann ich das irgentwo für IMMER ausschalten ? )
sooo thx für die erklärung jetzt hab ich das sogar verstanden

hmm hab da zwar ne verknüpfung ... bin auch auf der seite.... aber ich find da nix über security ups...
das stand da.... :

Ihr Computer ist so eingestellt, dass Sie Sicherheitsupdates und wichtige Updates automatisch erhalten.

heißt das ich habe die schon?

ok..... nochma bigges

 

[[For]Hood2]

nein sondern das er die updates automatisch downloadund installiert

 

[Ronschk]

tjo...
also muss ich nurnoch wissen:
1. wo genau bekomm ich de security updates her (oder hab ich dich falsch verstenden?)
2.Wo bekomm ich patch für IE her?
3. das mit tea timer (last post)

 

[[For]Hood2]

zu 3
starte spybot, klickce in der menüleiste auf modus wähle erweiteter Modus, bestätige mit ja, wähle werkzeuge, klicke auf Resident, entferne den haken bei TeaTimer

zu1+2
Die security updates kommen entweder mit dem automatischen update oder wenn du auf diese seite gehst
http://windowsupdate.microsoft.com und das Zertifikat bestätigst (wenn es vom MS ist) und auf schnellupdate(? oder ähnlich) klickst dann holt der alle securityupdates inklusive dem IE patch...

 

[Ronschk]

öhhm ok updates findet der keine mehr also hab ich alles..... und mit teatikmer hat auch gefunzt thxxxx hoffe das wars jetzt erstma für net zeit ^^

 

[Xufme]

also: wenn einer euch was Infiziertes schicken will und der einigermaßen gut ist dann könnt ihr euren Antivirenmist vergessen:
Norten etc wird daran scheitern.

 

[Dr. Picasso]

wie kann man denn etwas "schicken" wenn nicht über email anhang?

 

[Gast]

die erste wirklich interessante frage hier :>

gibt x wege; durch ne sicherheitslücke, durch ein tcp/ip-protokoll, was sinnloserweise an eine nic gebunden is, die ne dsl con aufbaut, durch schlechte netzwerk config, durch...

 

[[For]Hood2]

Original geschrieben von [Xuf]-me
also: wenn einer euch was Infiziertes schicken will und der einigermaßen gut ist dann könnt ihr euren Antivirenmist vergessen:
Norten etc wird daran scheitern.

Lass mich raten ein linux jünger.... mit dem totsicheren System löl

 

[Gast]

ich poste gerne meine ip hier, er kanns ja mal versuchen.

 

[Dr. Picasso]

Original geschrieben von mAiLmAn
die erste wirklich interessante frage hier :>

gibt x wege; durch ne sicherheitslücke, durch ein tcp/ip-protokoll, was sinnloserweise an eine nic gebunden is, die ne dsl con aufbaut, durch schlechte netzwerk config, durch...

also der "auslöser" muss von mir kommen, denn die firewall blockt alles was nicht von mir aufgerufen wurde (also wer nen email anhang von hotshops@viagraxxxsex.com öffnet is selber schuld -.-)...
wenn ich mit mozilla surfe, können da auch keine spastenprotokolle irgendwas machen oder?

 

[Gast]

träum weiter.

 

[Ronschk]

ahhh ohr zerstört meinen traum... dachte mein pc wäre sicher

 

[[For]Hood2]

Original geschrieben von Picasso


also der "auslöser" muss von mir kommen, denn die firewall blockt alles was nicht von mir aufgerufen wurde (also wer nen email anhang von hotshops@viagraxxxsex.com öffnet is selber schuld -.-)...
wenn ich mit mozilla surfe, können da auch keine spastenprotokolle irgendwas machen oder?

Naja im großen und ganzen stimmt das so, ABER leider gibt es immer Mittel und Wege in ein System einzudringen. Firewalls auch Personal Firewalls und Antivirus Software sowie die superwichtigen updates für das Betriebssytem legen den Zaun aber schon ziemlich hoch. Damit hält man schonmal die Scriptkiddies wie [Xuf]-me vom Rechner. Er hat halt einen der Virenconstruktionsets gefunden und meint nun der Held zu sein. Aber wie Picasso schon richtig festgestellt hat, ist man schon ziemlich sicher wenn man sein Hirn benutzt. Den was die Volldeppen wie [Xuf]-me nicht wissen das sie sich mit den "verfügbaren" Sets auch ein Rootkit aufn den Rechner geholt haben, ein aktives versteht sich...

Aber nun zurück das ist das was wir machen, wir legen den Zaun höher. Man kann sehr gut auch ohne Firewall aus kommen, solange man seine Lücken schliesst und sich ein bissel mit dem Systen beschäftigt (Ich verweise auf XfreeX Artikel Tschüß Bussi Ute oder wie der hies *g*)
Nun kann man und will man auch auch nicht von jeden verlangen das er ein 6 wöchiges Netzwerkstudium absolviert, aber ein paar Grundkenntnisse wären nicht schlecht. So glauben viele das man wegen DSL keine Angst vor einem Dialer haben muss, selbst wenn man noch ein Modem oder eine ISDN im Rechner zum faxen benutzt. Auch glauben viele das DSL ähnlich wie ein Analoges Modem noch wählt und wenn ein Router dazu kommt hört das alles auf.

Wenn man sein Windows immer schön aktuell hält, seine Antivirus ebenso und evt auch eine Personal Firewall einsetzt (mit der man sich dann auch vernünftig auseinandersetzen muss!!!) oder einen Router, nicht auf alles klickt dann ist man relativ sicher. Sicherheit ist niemals da, man kann es nur sicherer machen. Ein rest Risiko gibt es immer

Edit: Mozilla und Netzwerkprotokolle sind 2 verschiedene Sachen.
Mit mozilla verhinderst du das dir einer was mit ActiveX und/oder MS Java unterschiebt! Deine Firewall blockt TCP/UDP/ICMP, zusätzlich können manche PFs auch Applicationen darin hindern mit dem Internet zu kommunizieren

 

[thunder386]

Hätte auch mal ne Frage, ob bei mir irgendein Mist drauf ist. Hier ein Scan vom sys:

Logfile of HijackThis v1.97.7
Scan saved at 16:15:12, on 30.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2314.1000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\KERNEL32.DLI
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\PROGRAMME\CRAZY BROWSER\CRAZY BROWSER.EXE
C:\EIGENE 2\INSTALL FILES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://80.237.205.38/gw03/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/access/allinone.asp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [kernel32] C:\WINDOWS\SYSTEM\KERNEL32.DLI
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=http://home.microsoft.com/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {26111423-D30F-11D3-8A34-00A0CC3BAA9C} (Mission Connector 4.1) - http://www.mightygames.com/ActiveX/MC4110/MC.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab

 

[Ronschk]

@[For-]Hood ...aber du hast so ein studium absolviert? (hört sich stark so an O.o)

naja immerhin gibste dein wissen gut weiter ^^

 

[[For]Hood2]

fal-mal-um, es gibt bereits eine neuere Version von Hijackthis
download, entzippen und Deine alte ersetzen
http://www.hijackthis.de/hijackthis_198.zip

mach einen neustart in den abgesicherten Modus. Wenn der Rechner wieder startet drückst du im sekunden abstand F8. Im Startmenü wählst Du abgesicherter Modus.

starte Hijackthis, klicke auf scan und markiere
O4 - HKLM\..\Run: [kernel32] C:\WINDOWS\SYSTEM\KERNEL32.DLI

dann klick auf Fixchecked

Öffene ein Explorer Fenster und lösche das File
C:\WINDOWS\SYSTEM\KERNEL32.DLI

evt du musst Du erst die unter Ansicht/optionen den Haken bei Versteckte Dateien anzeigen (rein oder raus, bei WIn98EA weiss ich das garnicht mehr) und auf jeden Fall den Haken bei Bekannte Dateiendungen ausblenden wegmachen.

neustart und ein neues Hijackthis Log hier posten.

 

[[For]Hood2]

Original geschrieben von Ronschk
@[For-]Hood ...aber du hast so ein studium absolviert? (hört sich stark so an O.o)

naja immerhin gibste dein wissen gut weiter ^^

Häh? IT studiert? Bin doch kein DAU, das machen nur Leute die nix mit sich anfangen können

Alles selber beigebracht.

 

[thunder386]

Hier das neue Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:46:18, on 30.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2314.1000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE 2\INSTALL FILES\HIJACKTHIS_198\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://80.237.205.38/gw03/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=http://home.microsoft.com/access/allinone.asp
O16 - DPF: {26111423-D30F-11D3-8A34-00A0CC3BAA9C} (Mission Connector 4.1) - http://www.mightygames.com/ActiveX/MC4110/MC.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab


edit: das obere stammt aus dem abgesicherten Modus, hier noch eins im normalen:

Logfile of HijackThis v1.98.2
Scan saved at 23:52:41, on 30.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2314.1000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\EIGENE 2\INSTALL FILES\HIJACKTHIS_198\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://80.237.205.38/gw03/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=http://home.microsoft.com/access/allinone.asp
O16 - DPF: {26111423-D30F-11D3-8A34-00A0CC3BAA9C} (Mission Connector 4.1) - http://www.mightygames.com/ActiveX/MC4110/MC.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab

 

[[For]Hood2]

sieht sauber aus und wieder eine Kerbe für einen Virus mehr auf der Tastatur *einkratz*


Du solltest dringend den IE 6 mit ALLEN verfügbaren updates einspielen. www.windowsupdate.com

Dazu die Sunjava runtimes moduls: http://java.sun.com/webapps/download/AutoDL?BundleId=9723

Als genialen Schutz auch bei kleinen HD Spywareblaster

und gegen "böse Seiten" IE/Spyad

Die beiden letzten belegen nach der installation nur ein paar KB auf der HD. Sie brauchen kein Arbeitsspeicher und man braucht sie nur einmal im Monat upzudaten.

Es gibt auch kostenlose Antivirenscanner im Internet.
Antivirus
oder url=(http://free.grisoft.com/freeweb.php/doc/1/]AVG[/url] wenn man ISDN oder Modem benutzt
oder auch AVAST

war mir ein vergnügen

 

[thunder386]

kk, fast alles done. Bis auf die Sunjava Runtime Modules, ich hab die auf der Site net gefunden etwas viele downloads da...

 

[[For]Hood2]

http://java.sun.com/webapps/download/AutoDL?BundleId=9723

 

[Squad]

Hi [For]Hood
Hätte auch mal die Frage ob hier alles passt :

Logfile of HijackThis v1.98.2
Scan saved at 12:23:36, on 31.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CiDial\CiDial.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Progs\System\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.jet2web.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.jet2web.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.jet2web.net;*.aon.at;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CiDial 2.3.lnk = C:\Programme\CiDial\CiDial.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1096122957265
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.116.121.15/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F79BD7E7-D8A4-43BA-8DAD-8D0FBFD3F423}: NameServer = 195.3.96.67 195.3.96.68

Und der von meinem Laptop:

Logfile of HijackThis v1.98.2
Scan saved at 13:01:23, on 31.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1099161591745
O17 - HKLM\System\CCS\Services\Tcpip\..\{5452C0B8-6A05-4437-843B-8EB30EAFBFA7}: NameServer = 192.168.0.1