Hallöchen ersteinmal...
Ich bin schon am verzweifeln und hoffe dass mir hier vieleicht jemand helfen kann. Ich habe folgendes Problem:
Vor einigen Tagen hatte ich das Problem, dass ich nach ca. 30 min surfen plötzlich keine Seiten mehr laden konnte, obwohl ich online war. Zwar konnte ich auf 2-3 Seiten aus meinen Favs. noch connecten, aber wenn ich eine neue Seite aufrufen wollte ging das nicht. Außerdem wurde in der Taskleiste rechts unten so ein gelbes Dreieck mit Ausrufezeichen angezeigt (bei draufklicken verschwand es aber einfach). Ich mußte dann komplett neu booten und dann ging es wieder mit dem surfen für ca. 30 min. Dann hatte ich das gleiche Problem.
Ich war aber definitiv Online, da mein mule oder ähnliches funktionierte...
Darauf hin hatte ich meine ganzen Spy und Viren-Tools auf den neusten Stand gebracht und drüber rennen lassen (Ad-Aware, SpyBot, A-squared sowie AV Personal) allerdings ohne irgendwelche Spy- oder Virenerkennung)
Bis dahin lief der Seitenaufbau immer noch ruckzuck, wenn auch nur für ca. 30 min.
Dann habe ich mal sämtliche Internethinterlassenschaften (Verlauf, Temp.Int.Files usw,) durch meinen Shredder laufen lassen.
Daraufhin hatte ich das Problem, dass ich mich nach ca. 30 Min nirgens mehr connecten konnte nicht mehr. Allerdings brauch ich jetzt beim Seitenaufbau mindestens 3 mal so lange als vorher...
Ich weis echt nicht mehr weiter....
Hat jemand von euch eine Idee zu dieser Problematik? Wäre euch echt dankbar, da ich keine Lust hab mein Rechner scho wieder frisch zu machen..
Ich verwende XP-Pro SP1 und Moz/Firefox und hab nen dls anschluß bei arcor.
Vielen Dank schonmal im Voraus....
UnzUnz
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Internet plötzlich LANGSAM
19 Beiträge • Seite 1 von 2 • 1, 2
von Computerdirk am 11.11.2004, 20:10
Hallöchen,
hast du die Probleme denn immernoch, weil du schreibst das es nur für 30 Minuten war...
Ansonsten würde ich mal auf Emule und alles was im Hintergrund auf die Internetverbindung zugreift verzichten und dann mal den Fehler eingrenzen.
Eventuell hilft es auch, wenn du mal einen Scan mit HijackThis machst:
http://www.spywareinfo.com/~merijn/downloads.html
Dann das Logfile anlegen lassen und hier ins Forum kopeiren. Dann schauen wir mal ob da was klemmt...
hast du die Probleme denn immernoch, weil du schreibst das es nur für 30 Minuten war...
Ansonsten würde ich mal auf Emule und alles was im Hintergrund auf die Internetverbindung zugreift verzichten und dann mal den Fehler eingrenzen.
Eventuell hilft es auch, wenn du mal einen Scan mit HijackThis machst:
http://www.spywareinfo.com/~merijn/downloads.html
Dann das Logfile anlegen lassen und hier ins Forum kopeiren. Dann schauen wir mal ob da was klemmt...
- Computerdirk
- Administrator
- Beiträge: 7132
- Registriert: 25.05.2003, 21:17
- Wohnort: Goslar
von UnzUnz am 11.11.2004, 20:39
Hi Dirk
das mit den 30 min hattes du falsch verstanden. ich meinte, dass ich für ca. 30 min surfen konnte, und dann plötzlich keinen zugriff mehr auf irgendwelche seiten hatte obwohl ich online war. nach erneutem booten gings wieder für 30 min gut und dann wieder keine connection mehr möglich.....
aber dieses problem ist weg seit ich meine surfspuren geshreddert habe....
das neue problem ist halt dass ich fast nur noch mit isdn-geschwindigkeit statt dsl surfen kann und der seitenaufbau dementsprechen ewig dauert. Das hat aber erst angefangen, nachdem ich meibe Surfspuren geshreddert habe.
Ich hab den scan mir hijackthis durchgeführt und hab folgende Ergebnisse erhalten... ich hoffe das ist das was du gemeint hast:
Logfile of HijackThis v1.97.7
Scan saved at 19:27:49, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Cyber BoB\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [windows] xax.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [windows] xax.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O12 - Plugin for .MPG: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/m ... d_1111.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/active ... d_1115.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8110996969
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.orbitalgrooves.com/nsv/nsvplayx_vp6_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84315DD8-CC14-4C90-B317-20DEAD46F414}: NameServer = 145.253.2.11 145.253.2.203
oder meintest du das hier:
StartupList report, 11.11.2004, 19:28:48
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Cyber BoB\Desktop\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Cyber BoB\Desktop\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
WinampAgent = "C:\Programme\Winamp\Winampa.exe"
NeroCheck = C:\WINDOWS\system32\NeroCheck.exe
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
windows = xax.exe
EPSON Stylus C64 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
Zone Labs Client = "C:\Programme\ZoneAlarm\zlclient.exe"
AVGCtrl = "C:\Programme\AVPersonal\AVGNT.EXE" /min
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
windows = xax.exe
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
--------------------------------------------------
Enumerating Task Scheduler jobs:
EastTecEraser.job
--------------------------------------------------
Enumerating Download Program Files:
[Upload Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\MMS_UP~1.OCX
CODEBASE = https://img.web.de/v/mail/mms/activex/m ... d_1111.cab
[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shoc ... tor/sw.cab
[Yahoo! Audio Conferencing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\yacscom.dll
CODEBASE = http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
[Upload Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\CONFLICT.1\upload.ocx
CODEBASE = https://img.web.de/v/aktenkoffer/active ... d_1115.cab
[{62475759-9E84-458E-A1AB-5D2C442ADFDE}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.com/v ... 8110996969
[NsvPlayX Control]
InProcServer32 = C:\PROGRA~1\GEMEIN~1\NSV\NSVPLA~1.DLL
CODEBASE = http://www.orbitalgrooves.com/nsv/nsvplayx_vp6_mp3.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab
--------------------------------------------------
Enumerating Winsock LSP files:
Protocol #1: C:\Programme\Secure Surfing Engine\sselsp.dll
Protocol #2: C:\Programme\Secure Surfing Engine\sselsp.dll
Protocol #3: C:\Programme\Secure Surfing Engine\sselsp.dll
Protocol #19: C:\Programme\Secure Surfing Engine\sselsp.dll
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 5.905 bytes
Report generated in 0,030 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
was mich jetzt nur wundert, dass im LOG der IE als browser steht obwohl ich den garnicht mehr verwende...
dann ist mir aufgefallen dass meine firewall ständig die svchost.exe blockt die ständig aufs net zugreifen will...und abgehend hab ich ständig die meldung "Generic host progress for win32 services" welches meine firewall auch blockt.
hängt das irgendwie mit dem langsamen seitenaufbau zusammen??
Ich danke dir schonmal....
Liebe Grüße, UnzUnz
EDIT: mir ist auch aufgefallen, dass wenn ich Offline bin meine Firewall auch am ausflippen ist und ständig ausschlägt, als ob ein datentransfer stattfinden würde und die svchost.exe will ständig connecten..
das mit den 30 min hattes du falsch verstanden. ich meinte, dass ich für ca. 30 min surfen konnte, und dann plötzlich keinen zugriff mehr auf irgendwelche seiten hatte obwohl ich online war. nach erneutem booten gings wieder für 30 min gut und dann wieder keine connection mehr möglich.....
aber dieses problem ist weg seit ich meine surfspuren geshreddert habe....
das neue problem ist halt dass ich fast nur noch mit isdn-geschwindigkeit statt dsl surfen kann und der seitenaufbau dementsprechen ewig dauert. Das hat aber erst angefangen, nachdem ich meibe Surfspuren geshreddert habe.
Ich hab den scan mir hijackthis durchgeführt und hab folgende Ergebnisse erhalten... ich hoffe das ist das was du gemeint hast:
Logfile of HijackThis v1.97.7
Scan saved at 19:27:49, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Cyber BoB\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [windows] xax.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [windows] xax.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O12 - Plugin for .MPG: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/m ... d_1111.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/active ... d_1115.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8110996969
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.orbitalgrooves.com/nsv/nsvplayx_vp6_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84315DD8-CC14-4C90-B317-20DEAD46F414}: NameServer = 145.253.2.11 145.253.2.203
oder meintest du das hier:
StartupList report, 11.11.2004, 19:28:48
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Cyber BoB\Desktop\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Cyber BoB\Desktop\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
WinampAgent = "C:\Programme\Winamp\Winampa.exe"
NeroCheck = C:\WINDOWS\system32\NeroCheck.exe
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
windows = xax.exe
EPSON Stylus C64 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
Zone Labs Client = "C:\Programme\ZoneAlarm\zlclient.exe"
AVGCtrl = "C:\Programme\AVPersonal\AVGNT.EXE" /min
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
windows = xax.exe
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
--------------------------------------------------
Enumerating Task Scheduler jobs:
EastTecEraser.job
--------------------------------------------------
Enumerating Download Program Files:
[Upload Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\MMS_UP~1.OCX
CODEBASE = https://img.web.de/v/mail/mms/activex/m ... d_1111.cab
[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shoc ... tor/sw.cab
[Yahoo! Audio Conferencing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\yacscom.dll
CODEBASE = http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
[Upload Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\CONFLICT.1\upload.ocx
CODEBASE = https://img.web.de/v/aktenkoffer/active ... d_1115.cab
[{62475759-9E84-458E-A1AB-5D2C442ADFDE}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.com/v ... 8110996969
[NsvPlayX Control]
InProcServer32 = C:\PROGRA~1\GEMEIN~1\NSV\NSVPLA~1.DLL
CODEBASE = http://www.orbitalgrooves.com/nsv/nsvplayx_vp6_mp3.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab
--------------------------------------------------
Enumerating Winsock LSP files:
Protocol #1: C:\Programme\Secure Surfing Engine\sselsp.dll
Protocol #2: C:\Programme\Secure Surfing Engine\sselsp.dll
Protocol #3: C:\Programme\Secure Surfing Engine\sselsp.dll
Protocol #19: C:\Programme\Secure Surfing Engine\sselsp.dll
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 5.905 bytes
Report generated in 0,030 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
was mich jetzt nur wundert, dass im LOG der IE als browser steht obwohl ich den garnicht mehr verwende...
dann ist mir aufgefallen dass meine firewall ständig die svchost.exe blockt die ständig aufs net zugreifen will...und abgehend hab ich ständig die meldung "Generic host progress for win32 services" welches meine firewall auch blockt.
hängt das irgendwie mit dem langsamen seitenaufbau zusammen??
Ich danke dir schonmal....
Liebe Grüße, UnzUnz
EDIT: mir ist auch aufgefallen, dass wenn ich Offline bin meine Firewall auch am ausflippen ist und ständig ausschlägt, als ob ein datentransfer stattfinden würde und die svchost.exe will ständig connecten..
- UnzUnz
- Beiträge: 6
- Registriert: 11.11.2004, 19:23
von Nikita am 12.11.2004, 01:49
Hallo@UnzUnz
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten
O4 - HKLM\..\Run: [windows] xax.exe
O4 - HKLM\..\RunServices: [windows] xax.exe
neustarten
Ueberpruefe bitte die <C:\WINDOWS\system32\xax.exe <
und poste mir das Ergebnis, damit ich weiss, welcher Virenscanner diesen Wurm erkennt.
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
#oeffne das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINDOWS\system32\xax.exe
PC neustarten
Lade den Stinger
http://vil.nai.com/vil/stinger/
#deinstalliere fier 15 Tage deinen Free-Antivirus und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
klicke auf: awn2k3e.exe (eScan) und scanne alles, was es zum Scanne gibt.
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Gehe in die Registry
Start<Ausfuehren<regedit
ueberpruefe.
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=
dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
gib oben links in die Suchfunktion der Registry ein:
<xax
<xax.exe
<[windows] xax.exe
und loesche rechts in der Registry alles, was du findest.
Zum Beispiel unter diesem Schluessel..oder anderen ......
unter dem regulaeren Schluessel:
hkey_users/s-1-5-21-1597234714-3238835185-2771580065-1005/software/microsoft/ole/
oder:
HKLM\SOFTWARE\Microsoft\Ole\
.......................................................................................................
Dann poste das neue Log noch mal.
mfg
Nikita
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten
O4 - HKLM\..\Run: [windows] xax.exe
O4 - HKLM\..\RunServices: [windows] xax.exe
neustarten
Ueberpruefe bitte die <C:\WINDOWS\system32\xax.exe <
und poste mir das Ergebnis, damit ich weiss, welcher Virenscanner diesen Wurm erkennt.
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
#oeffne das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINDOWS\system32\xax.exe
PC neustarten
Lade den Stinger
http://vil.nai.com/vil/stinger/
#deinstalliere fier 15 Tage deinen Free-Antivirus und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
klicke auf: awn2k3e.exe (eScan) und scanne alles, was es zum Scanne gibt.
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Gehe in die Registry
Start<Ausfuehren<regedit
ueberpruefe.
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=
dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
gib oben links in die Suchfunktion der Registry ein:
<xax
<xax.exe
<[windows] xax.exe
und loesche rechts in der Registry alles, was du findest.
Zum Beispiel unter diesem Schluessel..oder anderen ......
unter dem regulaeren Schluessel:
hkey_users/s-1-5-21-1597234714-3238835185-2771580065-1005/software/microsoft/ole/
oder:
HKLM\SOFTWARE\Microsoft\Ole\
.......................................................................................................
Dann poste das neue Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von UnzUnz am 12.11.2004, 16:27
Huhu Nikita
Die Datei XAX.EXE ist weder im Verzeichnis c:\WINDOWS\system32 noch sonstwo auf meinem Rechner zu finden...
hab 3 mal mein System nach der datei gescannt, aber es wurde nichts gefunden...
Aber ich glaube mich erinnern zu können, dass mein AntiVirPersonal diese Datei mal entdeckt hatte und ich die dann auf quarantäne gesetzt habe. das ist aber bestimmt schon 2-3 Monate her. Ich hab im Quarantäneverzeichnis von AVPersonal nachgeschaut, aber das ist leer. es existiert auch nicht als versreckte Datei.
Werde den Jotti-Scan nun einfach mal auslassen und gehe einfach mal weiter vor wie Du es beschrieben hast... Ich versuch es zumindes mal hinzubekommen...
Liebe Grüße, UnzUnz
Die Datei XAX.EXE ist weder im Verzeichnis c:\WINDOWS\system32 noch sonstwo auf meinem Rechner zu finden...
hab 3 mal mein System nach der datei gescannt, aber es wurde nichts gefunden...
Aber ich glaube mich erinnern zu können, dass mein AntiVirPersonal diese Datei mal entdeckt hatte und ich die dann auf quarantäne gesetzt habe. das ist aber bestimmt schon 2-3 Monate her. Ich hab im Quarantäneverzeichnis von AVPersonal nachgeschaut, aber das ist leer. es existiert auch nicht als versreckte Datei.
Werde den Jotti-Scan nun einfach mal auslassen und gehe einfach mal weiter vor wie Du es beschrieben hast... Ich versuch es zumindes mal hinzubekommen...
Liebe Grüße, UnzUnz
- UnzUnz
- Beiträge: 6
- Registriert: 11.11.2004, 19:23
von UnzUnz am 12.11.2004, 18:35
Huhu Nikita....
Ich habe mal versucht deinen Anweisungen zu folgen. aber anscheinend bin ich echt unfähig was tieferes PC-Wissen abelangt:
Wie gesagt, diese Datei existiert nicht(mehr) auf meinem Rechner
Die Seite konnte ich leider nicht connecten
Diese Seite konnte ich auch leider nicht connecten
Im abgesicherten Modus konnte ich leider nicht starten, da ich immer nur nen "Black-Screen" bekam der auch nach mehreren Minuten nicht mehr wegging.
Der Scan mit e-Scan hat keine Ergebnisse gebracht... Komplettes System anscheinend sauber
Diese Einstellungen waren unverändert auf Y/0/0
Es gab 2 Einträge unter Windows/Ole die ich gelöscht habe...
Aber wie könnte es anders sein getreu nach dem Motto "Das Glück ist mit den dummen" hab ich nach abschließendem Re-Boot wieder meine alte, einem dsl-Anschluß würdige Geschwindigkeit im Net....
Hier aber dennoch nochmal die abschließende HiJack-Log:
Logfile of HijackThis v1.97.7
Scan saved at 17:29:11, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Internet-Sicherheit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .MPG: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/m ... d_1111.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/active ... d_1115.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8110996969
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.orbitalgrooves.com/nsv/nsvplayx_vp6_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84315DD8-CC14-4C90-B317-20DEAD46F414}: NameServer = 145.253.2.11 145.253.2.203
Vielen Vielen Vielen Vielen Daaaaaaaangeeeeschööööööön
Ich weis garnich wie ich Dir danken soll... *Bussigeb*
Nur noch eine abschießende Frage:
Lohnt es sich den E-Scan freischalten zu lassen oder bin ich mit meinem alten AV-Personal genauso gut bedient was I-Net-Secure betrifft....
Liebe Grüße UnzUnz
Ich habe mal versucht deinen Anweisungen zu folgen. aber anscheinend bin ich echt unfähig was tieferes PC-Wissen abelangt:
Ueberpruefe bitte die <C:\WINDOWS\system32\xax.exe <
und poste mir das Ergebnis, damit ich weiss, welcher Virenscanner diesen Wurm erkennt.
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
#oeffne das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINDOWS\system32\xax.exe
PC neustarten
Wie gesagt, diese Datei existiert nicht(mehr) auf meinem Rechner
Lade den Stinger
http://vil.nai.com/vil/stinger/
Die Seite konnte ich leider nicht connecten
Diese Seite konnte ich auch leider nicht connecten
Im abgesicherten Modus konnte ich leider nicht starten, da ich immer nur nen "Black-Screen" bekam der auch nach mehreren Minuten nicht mehr wegging.
Der Scan mit e-Scan hat keine Ergebnisse gebracht... Komplettes System anscheinend sauber
Gehe in die Registry
Start<Ausfuehren<regedit
ueberpruefe.
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=
dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
Diese Einstellungen waren unverändert auf Y/0/0
gib oben links in die Suchfunktion der Registry ein:
<xax
<xax.exe
<[windows] xax.exe
und loesche rechts in der Registry alles, was du findest.
Es gab 2 Einträge unter Windows/Ole die ich gelöscht habe...
Aber wie könnte es anders sein getreu nach dem Motto "Das Glück ist mit den dummen" hab ich nach abschließendem Re-Boot wieder meine alte, einem dsl-Anschluß würdige Geschwindigkeit im Net....
Hier aber dennoch nochmal die abschließende HiJack-Log:
Logfile of HijackThis v1.97.7
Scan saved at 17:29:11, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Internet-Sicherheit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .MPG: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/m ... d_1111.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/active ... d_1115.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8110996969
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.orbitalgrooves.com/nsv/nsvplayx_vp6_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{84315DD8-CC14-4C90-B317-20DEAD46F414}: NameServer = 145.253.2.11 145.253.2.203
Vielen Vielen Vielen Vielen Daaaaaaaangeeeeschööööööön
Ich weis garnich wie ich Dir danken soll... *Bussigeb*
Nur noch eine abschießende Frage:
Lohnt es sich den E-Scan freischalten zu lassen oder bin ich mit meinem alten AV-Personal genauso gut bedient was I-Net-Secure betrifft....
Liebe Grüße UnzUnz
- UnzUnz
- Beiträge: 6
- Registriert: 11.11.2004, 19:23
von Nikita am 13.11.2004, 02:02
Hallo@UnzUnz
Mache folgendes:
<#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei
oder, wenn du willst, poste mir, was du findest.
2. der Escan lohnt sich 27 Dollar (?) pro Jahr .
3.
Koenntest du mir bitte posten unter welchem Schluessel du den Backdoor (ole) gefunden hast ?
mfg
Nikita
Mache folgendes:
<#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei
oder, wenn du willst, poste mir, was du findest.
2. der Escan lohnt sich 27 Dollar (?) pro Jahr .
3.
Koenntest du mir bitte posten unter welchem Schluessel du den Backdoor (ole) gefunden hast ?
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von UnzUnz am 13.11.2004, 19:27
Hallöchen Nikita
Hab das hier unter "Config< Misc Tools < Open Hosts file Manager" gefunden:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.grisoft.com
Ich habe jetzt alles gelöscht bis auf die Zeile "127.0.0.1 localhost"
Hoffe das war richtig...
Was meintest du mit "Schlüssel" ?? den Ordner wo das "xax" in der RegEdit drinne war??
Ui sorry, das weis ich leider nimmer. Kann man das irgendwie nochmal nachvollziehen??
Du, ich hätte da noch ne Frage (hoffe ich nerv Dich nicht)
In der RegEdit stehen viele Einträge drinne von Programmen, die ich schon längst deinstalliert habe...
Kann ich/sollte ich diese Sachen einfach löschen oder macht das nix wenn der ganze Daten-Restmüll da so rumsteht. Ich dachte nur dass es dadurch evtl. zu Problemen bei anderen Programmen kommen könnte!!??!!??
Liebe Grüße und ein nice we
UnzUnz
Hab das hier unter "Config< Misc Tools < Open Hosts file Manager" gefunden:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.grisoft.com
Ich habe jetzt alles gelöscht bis auf die Zeile "127.0.0.1 localhost"
Hoffe das war richtig...
Was meintest du mit "Schlüssel" ?? den Ordner wo das "xax" in der RegEdit drinne war??
Ui sorry, das weis ich leider nimmer. Kann man das irgendwie nochmal nachvollziehen??
Du, ich hätte da noch ne Frage (hoffe ich nerv Dich nicht)
In der RegEdit stehen viele Einträge drinne von Programmen, die ich schon längst deinstalliert habe...
Kann ich/sollte ich diese Sachen einfach löschen oder macht das nix wenn der ganze Daten-Restmüll da so rumsteht. Ich dachte nur dass es dadurch evtl. zu Problemen bei anderen Programmen kommen könnte!!??!!??
Liebe Grüße und ein nice we
UnzUnz
- UnzUnz
- Beiträge: 6
- Registriert: 11.11.2004, 19:23
von Nikita am 13.11.2004, 19:42
Hallo@UnzUnz
Das die Host verseucht war, habe ich schon geahnt, weil du bestimmt Seiten nicht erreichen konntest....dass du alles bis auf
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
geloescht hast, war goldrichtig
Ueberpruefe das immer mit dem HijackThis !!!!!!!!!!!
Der Wurm hatte das so verstellt.
Die alten Programme kannst dun rechts in der Registry loeschen, aber ich wuerde das nicht manuell machen, sondern mit dem Regcleaner, mit TuneUp und mit RegSupreme
#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
#RegCleaner (Deutsch)
http://www.chip.de/downloads/c_downloads_8830516.html
mfg
NIkita
Das die Host verseucht war, habe ich schon geahnt, weil du bestimmt Seiten nicht erreichen konntest....dass du alles bis auf
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
geloescht hast, war goldrichtig
Ueberpruefe das immer mit dem HijackThis !!!!!!!!!!!
Der Wurm hatte das so verstellt.
Die alten Programme kannst dun rechts in der Registry loeschen, aber ich wuerde das nicht manuell machen, sondern mit dem Regcleaner, mit TuneUp und mit RegSupreme
#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
#RegCleaner (Deutsch)
http://www.chip.de/downloads/c_downloads_8830516.html
mfg
NIkita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von UnzUnz am 13.11.2004, 21:06
Hey Nikita...
Ich danke Dir nochmals für Deine wertvollen Tipps und Ratschläge. Vorallem dass Du mir echt so superschnell geholfen hast. *froi*
Ich hoffe, dass ich mich wieder bei Dir/Euch melden darf, falls mal wieder irgend etwas klemmt...
Wünsche Dir und allen andern noch ein schönes Wochenende
Liebe Grüße, UnzUnz
Ich danke Dir nochmals für Deine wertvollen Tipps und Ratschläge. Vorallem dass Du mir echt so superschnell geholfen hast. *froi*
Ich hoffe, dass ich mich wieder bei Dir/Euch melden darf, falls mal wieder irgend etwas klemmt...
Wünsche Dir und allen andern noch ein schönes Wochenende
Liebe Grüße, UnzUnz
- UnzUnz
- Beiträge: 6
- Registriert: 11.11.2004, 19:23
Hilfe !!!!
von Marco1975 am 14.11.2004, 22:02
Hallo ComputerDirk
Habe auch so ein Problem wie mein Vorredner.
Bei mir Bauen sich die Seiten auch nicht auf.
Erst wenn ich ein paar mal mich reinwähle und ein paar Explorer aufmache kommt mal was.
Und wenn es denn läuft geht es eigentlich ganz gut.
Nu rab und zu kommt das Problem wieder oder ich fliege raus.
Habe Spybot schon durchlaufen lassen.
Hat auch was gefunden.
Doch dann ist das Problem wieder da.
Lasse dann Spybot nochmal durchlaufen und es werden wieder diese Sachen gefunden wie. z b. ALEXA RELATED oder DSO EXPLOIT.
Habe dann immunisiert und auch noch Hijack This durchlaufen lassen.
Aber was kann man daraus sehen.
Kannst Du mir vielleicht helfen, wie ich das Problem behebe.??
Kann nämlich nicht so gut Englisch
MFG
Marco
Habe auch so ein Problem wie mein Vorredner.
Bei mir Bauen sich die Seiten auch nicht auf.
Erst wenn ich ein paar mal mich reinwähle und ein paar Explorer aufmache kommt mal was.
Und wenn es denn läuft geht es eigentlich ganz gut.
Nu rab und zu kommt das Problem wieder oder ich fliege raus.
Habe Spybot schon durchlaufen lassen.
Hat auch was gefunden.
Doch dann ist das Problem wieder da.
Lasse dann Spybot nochmal durchlaufen und es werden wieder diese Sachen gefunden wie. z b. ALEXA RELATED oder DSO EXPLOIT.
Habe dann immunisiert und auch noch Hijack This durchlaufen lassen.
Aber was kann man daraus sehen.
Kannst Du mir vielleicht helfen, wie ich das Problem behebe.??
Kann nämlich nicht so gut Englisch
MFG
Marco
- Marco1975
- Beiträge: 23
- Registriert: 29.09.2004, 20:02
von Nikita am 14.11.2004, 22:36
Hallo@Marco1975
Ich zwar nicht der @ComputerDirk, aber vielleicht kann ich dir auch helfen.
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool-->Button "scan" --> Button "save" -->es oeffnet sich das Notepad, nun das
Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfuegen"--> kopieren
mfg
Nikita
Ich zwar nicht der @ComputerDirk, aber vielleicht kann ich dir auch helfen.
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool-->Button "scan" --> Button "save" -->es oeffnet sich das Notepad, nun das
Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfuegen"--> kopieren
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Marco1975 am 15.11.2004, 19:05
Hallo
Habe das mal reinkopiert.
Hoffentlich könnt Ihr mir helfen.
MFG
Marco
logfile of HijackThis v1.98.2
Scan saved at 18:04:18, on 15.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINNT\system32\rundll32.exe
C:\Dokumente und Einstellungen\Betzi\Eigene Dateien\Anwendungen\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A23CD4-1E59-4EC7-8C75-660AFEAEB477}: NameServer = 213.61.191.70 213.61.191.198
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A23CD4-1E59-4EC7-8C75-660AFEAEB477}: NameServer = 213.61.191.70 213.61.191.198
Habe das mal reinkopiert.
Hoffentlich könnt Ihr mir helfen.
MFG
Marco
logfile of HijackThis v1.98.2
Scan saved at 18:04:18, on 15.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINNT\system32\rundll32.exe
C:\Dokumente und Einstellungen\Betzi\Eigene Dateien\Anwendungen\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A23CD4-1E59-4EC7-8C75-660AFEAEB477}: NameServer = 213.61.191.70 213.61.191.198
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A23CD4-1E59-4EC7-8C75-660AFEAEB477}: NameServer = 213.61.191.70 213.61.191.198
- Marco1975
- Beiträge: 23
- Registriert: 29.09.2004, 20:02
von Nikita am 16.11.2004, 01:17
Hallo@Marco1975
Es ist mir unverstaendlich, wie man bei eBay mitbietet und das von einem voellig ungesicherten Pc
aktualisiere bitte den IE und mache die CritcalUpdates (WindowsUpdates)...dann sehen wir weiter.
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
................................................................................................................
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,
mfg
Nikita
Es ist mir unverstaendlich, wie man bei eBay mitbietet und das von einem voellig ungesicherten Pc
aktualisiere bitte den IE und mache die CritcalUpdates (WindowsUpdates)...dann sehen wir weiter.
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php
#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
................................................................................................................
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Re:
von Marco1975 am 16.11.2004, 19:47
Hallo Nikita
Man das hört sich ja schlimm an.
Was ist denn eigentlich mit dem Firefox und dem Thunderbird als Ersatz zum IE und Outlook.???
Sollen sicherer sein.
Das mit Deinen Tipps krieg ich ja nie hin. Bi doch nur ein kleiner Laie.
Wollte mir die alternative Programme mal installieren und dann nochmal HijackThis machen.
Habe auch einiges von Deinen Tipps erledigt.
Was sollte ich den noch installieren.??
Reicht das dann als Sicherheit.???
MFG
Marco
Vielen Dank schonmal für die Hilfe
Man das hört sich ja schlimm an.
Was ist denn eigentlich mit dem Firefox und dem Thunderbird als Ersatz zum IE und Outlook.???
Sollen sicherer sein.
Das mit Deinen Tipps krieg ich ja nie hin. Bi doch nur ein kleiner Laie.
Wollte mir die alternative Programme mal installieren und dann nochmal HijackThis machen.
Habe auch einiges von Deinen Tipps erledigt.
Was sollte ich den noch installieren.??
Reicht das dann als Sicherheit.???
MFG
Marco
Vielen Dank schonmal für die Hilfe
- Marco1975
- Beiträge: 23
- Registriert: 29.09.2004, 20:02
19 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Internet problem Forum: Software-Hilfe Autor: noodlez Antworten: |
plötzlich mehrere probleme Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Fernsehen über Internet Forum: Off-Topic Hilfe Autor: Anonymous Antworten: |
Amilo A - Sound - Internet-Telefonie (PC<->PC) - Echo Forum: Hardware-Hilfe Autor: chriskmuc Antworten: |
Wurm "Sobig.F" treibt Internet-Nutzer in den Wahns Forum: Online- und PC-Sicherheit Autor: Computerdirk Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste