virus etc?

[elsu]

von eben auf jetzt hat es plötzlich gelaggt und nun geht mein task manager nicht mehr... regedit und msconfig und cmd gehen auch nicht.. meistens passiert einfach nichts, aber manchmal kommt ne nachricht das ich nicht genügend rechte hätte.. antivir zeigt nichts an.. ich habe eigentlich täglich mit sowas zu tun aber sowas ist mir noch nicht untergekommen irgendwie.. er rechnet auch ständig..

ich habe keine ahnung was das soll.. jemand rat? ;\

 

[elsu]

jo sry.. hat sich erledigt.. das gute alte hijackthis.. aufatmen, darauf hätte ich jetzt keine bock gehabt

 

[[For]Hood2]

und welcher war es?

 

[elsu]

 

[Gast]

der darüber und die letzten beiden?!

hast du alle deine sachen im ordner config?!

 

[[For]Hood2]

Poste mal ein complettes Log bitte, :weird:

 

[IchBinDagegen]

hast du windows unter c:\windows oder unter c:\config installiert?

 

[elsu]

was ist dieses zboard? du nutzt aol?

C:\WINDOWS\wanmpsvc.exe <-aol?
C:\Programme\Ideazon\Zboard Software\Driver\ZboardTray.exe <-?
C:\config\mirc.exe
C:\config\icq.exe
C:\config\mac-0.exe
C:\config\virusscan.exe
C:\config\services.exe
C:\config\Isass.exe
C:\config\svchost.exe
C:\config\lsass.exe
C:\Programme\Ideazon\Zboard Software\Driver\Zboard.exe <- ?

O4 - HKLM\..\Run: [mIRC] C:\config\mirc.exe
O4 - HKLM\..\Run: [ICQ] C:\config\icq.exe
O4 - HKLM\..\Run: [MacOS Security Scan] C:\config\mac-0.exe
O4 - HKLM\..\Run: [Virus Scanner] C:\config\virusscan.exe
O4 - HKLM\..\Run: [WinLogon] C:\config\services.exe
O4 - HKLM\..\Run: [Dienstscanner] C:\config\Isass.exe
O4 - HKLM\..\Run: [WinUpdate] C:\config\svchost.exe
O4 - HKLM\..\Run: [Boot Manager] C:\config\lsass.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O20 - Winlogon Notify: iexplore - 3m3dl.dll (file missing)
O20 - Winlogon Notify: Zboard - C:\WINDOWS\SYSTEM32\Winlognotif.dll <- ?
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe <- aol?

systemprozesse, die nicht aus dem windows ordner stammen... ehm...

 

[Gast]

scheisse -_- ich wollte deinen post nich editieren...
naja, poste besser nochmal n log für hood
und sorry!

 

[haschischtasche]

Original geschrieben von MailMan

systemprozesse, die nicht aus dem windows ordner stammen... ehm...

naja, da gibs (leider) auch viele die nich malware sind.
zonealarm doch zum beispiel ?.?

 

[Gast]

C:\config\services.exe
C:\config\Isass.exe
C:\config\svchost.exe
C:\config\lsass.exe

die aber sicher nich^^

 

[haschischtasche]

Original geschrieben von mAiLmAn
C:\config\services.exe
C:\config\Isass.exe
C:\config\svchost.exe
C:\config\lsass.exe

die aber sicher nich^^

sieht mir mehr danach aus als ob er alle dienste die er brauch in c:\config\ ausgelagert hat
ich mein icq und mirc liegen da ja auch

edit: kk wenn er das schrieb, dann ist das natuerlich was anderes

 

[Gast]

er schrieb, dass es den ordner gar nicht gibt (hab ich clevererweise wegeditiert)... und lsass + Isass sieht eh mehr als strange aus.

 

[[For]Hood2]

Das sieht aber merkwürdig aus, Elsu.

Mach mal bitte folgendes:
Im Explorer unter Extras/Ordner optionen machst den Haken weg bei:

Bekannte Erweiterungen ausblende,.
System dateien verstecken.
und bei
Versteckte Dateien udn Ordner anzeigen machst den halen rein.

Nun solltest Du den Ordner sehen können.

Warte nicht löschen. Noch nicht. Gehe hier hin:
http://virusscan.jotti.org/ und lass 2-3 der Dateien scannen. Wenn schon der erste als malware angezeigt wird, dann boote in den abgesicherten Modus und lösche den Ordner Fix die Einträge mit HijackThis.

Dann postest Du bitte noch eine neues log hier, da ist noch mehr was Deine Aufmerksamkeit braucht.

ALLE anderen bitte kommentiert falls ich was übersehe habe zum SCHLUSS.

 

[elsu]

1. also nochmal alles

€2. den c:\config\ gibts nicht (noch jedenfalls nicht ;o)

€3. zboard ist meine tastatur.. gamingscheissendreck.. www.zboard.com

€4. ich benutze kein aol


€6.

das kam bei der icq.exe (und bei allen anderen .exe 'n auch) in c:\config\

Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found nothing

























Logfile of HijackThis v1.99.1
Scan saved at 21:16:36, on 04.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ideazon\Zboard Software\Driver\ZboardTray.exe
C:\WINDOWS\Mixer.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\config\mirc.exe
C:\config\icq.exe
C:\config\mac-0.exe
C:\config\virusscan.exe
C:\config\services.exe
C:\config\Isass.exe
C:\config\svchost.exe
C:\config\lsass.exe
C:\Programme\Ideazon\Zboard Software\Driver\Zboard.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mIRC] C:\config\mirc.exe
O4 - HKLM\..\Run: [ICQ] C:\config\icq.exe
O4 - HKLM\..\Run: [MacOS Security Scan] C:\config\mac-0.exe
O4 - HKLM\..\Run: [Virus Scanner] C:\config\virusscan.exe
O4 - HKLM\..\Run: [WinLogon] C:\config\services.exe
O4 - HKLM\..\Run: [Dienstscanner] C:\config\Isass.exe
O4 - HKLM\..\Run: [WinUpdate] C:\config\svchost.exe
O4 - HKLM\..\Run: [Boot Manager] C:\config\lsass.exe
O4 - HKCU\..\Run: [Fraps] C:\PROGRAMME\FRAPS\FRAPS.EXE
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: PowerReg Scheduler.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\icq\ICQ.EXE
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\icq\ICQ.EXE
O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{C154F992-323A-4F2C-9FC1-944D8D3EF7D7}: NameServer = 192.168.2.1
O20 - Winlogon Notify: iexplore - 3m3dl.dll (file missing)
O20 - Winlogon Notify: Zboard - C:\WINDOWS\SYSTEM32\Winlognotif.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe



ich editiere gleich alles andere dazu wenn ichs gemacht habe...

 

[[For]Hood2]

Ok ich raffs nicht warum es den ordner nicht gibt und dann wieder doch aber vielleicht arbeite ich auch zu viel und ich bin einfach nur müde.

Wenn Du diesen Ordner nicht kennst, machst Du bitte folgendes:

Packe die einzelnen files mit zip oder rar und schicke sie an:
gnmpfs (at) freenet.de (at)=@

Danach bootest Du in den abgesicherten Modus und löscht den Ordner.
Fixe in HijackThis:

O4 - HKLM\..\Run: [mIRC] C:\config\mirc.exe
O4 - HKLM\..\Run: [ICQ] C:\config\icq.exe
O4 - HKLM\..\Run: [MacOS Security Scan] C:\config\mac-0.exe
O4 - HKLM\..\Run: [Virus Scanner] C:\config\virusscan.exe
O4 - HKLM\..\Run: [WinLogon] C:\config\services.exe
O4 - HKLM\..\Run: [Dienstscanner] C:\config\Isass.exe
O4 - HKLM\..\Run: [WinUpdate] C:\config\svchost.exe
O4 - HKLM\..\Run: [Boot Manager] C:\config\lsass.exe
O4 - Startup: PowerReg Scheduler.exe
O20 - Winlogon Notify: iexplore - 3m3dl.dll (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Neustarten und ein neues Log posten.

Wenn Du allerdings weisst was das mit dem config auf sich hat, erklärs mir bitte und fixe nur den O20 und O23

 

[elsu]

O10 - Broken Internet access because of LSP provider 'xfire_lsp_9717.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{C154F992-323A-4F2C-9FC1-944D8D3EF7D7}: NameServer = 192.168.2.1

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


der "C:\WINDOWS\wanmpsvc.exe" lässt sich nicht fixen..

 

[[For]Hood2]

Ok ist angekommen, danke malschauen.

Start /ausführen services.msc eintippen und WAN Miniport (ATW) Service suchen und doppelklicken.
Klick stop warte ein bißchen bis er gestoppt hat und dann stellst Du den startart auf manual.

Neustarten und BITTE ein komplettes log posten. Was für eine Soundkarte benutzt Du, nicht zu fällig eine Terratec?

Solltest Du nicht mehr onlinekommen stellst Du den Dienst wieder auf auto, obwohl Dein T-online router trotzdem funktionieren sollte.