[Microsoft Office] lserv.exe -->> Backdoor W32/Rbot-R

von **sAd*memph1s** am 15.11.2004, 17:14

Hallo erstmal zusammen

,

Es geht um folgendes :

Ich hab mir vor ein paar Tagen avast! installiert und bin recht zufrieden mit dem Prog da ich mit diesem 2 Trojaner gefunden habe die ich mit anderen Antiviren Progs nicht fand .

Nun gibt mir Avast immer eine Zugriffs Scanner Nachricht :

Dcom Exploit Tcp Packet from Ip .........

Die Ips ändern sich stehtig bzw. sind es mehrere Ips die minütlich fast angezeigt werden .

Nun hab ich mir mal Hijackthis dlt und wollte euch nun diese Log zeigen :

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINNT\System32\internat.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\NoNameScript\mirc.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\Mozilla\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Ben\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Microsoft Office] lserv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Office] lserv.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/c ... /kt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/c ... /nt1_x.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://anu.popcap.com/games/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF0A1DE8-AA5D-4CF2-BD07-06841FD72D6F}: NameServer = 217.237.151.97 217.237.150.33

Hoffe ihr könnt mir helfen! Thx schonmal im Vorraus

von **Computerdirk** am 15.11.2004, 20:15

Hallöchen,

ist das eine von dir gewählte Startseite?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/

Wenn nicht, dann mit Hijackthis fixen.

Desweiteren solltest du folgende Einträge fixen:

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Folgender Eintrag ist auch merkwürdig, wenn er dir nicht bekannt vorkommt, dann auch fixen:

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://anu.popcap.com/games/popcaploader_v5.cab

Ansonsten fällt mir nichts dramatisches auf...

von **sAd*memph1s** am 15.11.2004, 20:47

Danke für deine Tipps !

Nun hab ich mal mein Avast! geupdatet und siehe da :

Network Shield: Block "DCOM EXPLOIT" attack from ......

Es wundert mich auch das es mehrere IPS sind die sich aber im Laufe der Zeit ständig wiederholen.

Alle paar sekunden muss Avast nen Attack blocken....

Hoffe mir kann noch jmd Tipps und Antworten darauf geben was das nun zu bedeuten hat bzw. wie ich es stoppen könnte.

von **Nikita** am 16.11.2004, 11:42

Hallo@sAd*memph1s

du hast einen Backdoor/Virus auf dem PC.

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Gehe in die Registry
Start<Ausfuehren<regedit:
gib oben links in die Suchfunktion der Registry ein:

lserv [LSERV]

und loesche RECHTS in der Registry alles, was du findest.

<HKLM\Software\Microsoft\Windows\CurrentVersion\Run
loesche:
[Microsoft Office] lserv.exe

<HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
loesche:
[Microsoft Office] lserv.exe

<HKCU\Software\Microsoft\Windows\CurrentVersion\Run
loesche:
[Microsoft Office] lserv.exe
.........................................................................................................
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) [Twain Tech Adware]
O4 - HKLM\..\RunServices: [Microsoft Office] lserv.exe
O4 - HKCU\..\Run: [Microsoft Office] lserv.exe

neustarten

#oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\WINNT\system32\lserv.exe
wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "yes"

Dann lade:
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten
(zusammen mit dem neuen Log vom HijackThis)
..............................................................................................................
Gehe noch mal in die Registry
W32/Rbot-R-BackDoor.SdBot.25.AA veraendert alle 120 Sekunden:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N" --> aendere in "Y"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" --> aendere in 0
........................................................................................................

(zumal ist dein PC voellig ungesichert.....aber darueber sprechen wir nach der Reinigung )
mfg
Nikita

von **sAd*memph1s** am 17.11.2004, 02:21

Also erstmal echt Thx für die Infos!

Mein OS ist Win2k.

Falls ich nun irgendwas anderes noch machen sollte da es nicht Xp ist saG mir bescheid.

Werde nun die Bereinigung vornehmen!

Mfg memph1s`-

von **sAd*memph1s** am 17.11.2004, 03:53

So bin mit der Bereinigung fertig und hab fast alles geschafft was du mir aufgetragen hast ausser das ich :

O4 - HKLM\..\RunServices: [Microsoft Office] lserv.exe

nicht im Hijackthis Scan fand.

Warte auf weitere Instruktionen

greetz memph1s`-

von **Nikita** am 17.11.2004, 14:27

konntest du auch nicht finden, weil du es schon aus der Registry geloescht hast.
Poste bitte das neue Log vom HijackThis und berichte, was eScan AV Toolkit anzeigt (infiziert)

mfg
Nikita

von **sAd*memph1s** am 17.11.2004, 20:10

Hi

Also hier die Log :

Logfile of HijackThis v1.98.2
Scan saved at 18:59:42, on 17.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Anti.Hacker.and.Trojan.Expert\Anti-Hacker&Trojan Expert\Firewall.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINNT\System32\internat.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\NoNameScript\mirc.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Ben\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Anti-Hacker Expert Firewall] C:\Programme\Anti.Hacker.and.Trojan.Expert\Anti-Hacker&Trojan Expert\Firewall.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Joyo - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\ANTIHA~1.EXP\ANTI-H~1\IEPlugin.dll
O9 - Extra button: PowerWord - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\ANTIHA~1.EXP\ANTI-H~1\IEPlugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/c ... /kt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/c ... /nt1_x.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://anu.popcap.com/games/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF0A1DE8-AA5D-4CF2-BD07-06841FD72D6F}: NameServer = 217.237.151.97 217.237.150.33

Und hier die eScan Log :

Wed Nov 17 02:42:16 2004 => ***** Scanning complete. *****

Wed Nov 17 02:42:16 2004 => Total Files Scanned: 84093
Wed Nov 17 02:42:16 2004 => Total Virus(es) Found: 5
Wed Nov 17 02:42:16 2004 => Total Disinfected Files: 0
Wed Nov 17 02:42:16 2004 => Total Files Renamed: 0
Wed Nov 17 02:42:16 2004 => Total Deleted Files: 0
Wed Nov 17 02:42:16 2004 => Total Errors: 15
Wed Nov 17 02:42:16 2004 => Time Elapsed: 00:43:30
Wed Nov 17 02:42:16 2004 => Virus Database Date: 2004/11/16
Wed Nov 17 02:42:16 2004 => Virus Database Count: 109602

Wed Nov 17 02:42:16 2004 => Scan Completed.

Wed Nov 17 02:10:48 2004 => File C:\Programme\Quake III Arena\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Wed Nov 17 02:34:53 2004 => File C:\Dokumente und Einstellungen\Ben\Desktop\HL\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

Wed Nov 17 02:40:39 2004 => File C:\Spiele\Halflife\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

Wed Nov 17 02:32:06 2004 => File C:\Dokumente und Einstellungen\Ben\Eigene Dateien\johnny08\RadeonTweaker-1.1.96.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

C:\DOKUME~1\Ben\LOKALE~1\Temp\saveinstwm.exe tagged as not-a-virus:AdWare.SaveNow.z. No Action Taken.

So das wärs gewesen

greetz memph1s`-

von **Nikita** am 17.11.2004, 20:36

Hallo@sAd*memph1s

loesche:
<C:\DOKUME~1\Ben\LOKALE~1\Temp\saveinstwm.exe

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

<mache die WindowsUpdates, ich glaube, fuer win2000 gibt es schon ein neues Servicepack.

<dann aktualisierst du den IE
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/deta ... B602228DE6

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

dann poste das Log noch mal.

mfg
Nikita

von **sAd*memph1s** am 18.11.2004, 02:25

Hi nikita , bin nun fertig mit allem.

Hier meine Log

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Anti.Hacker.and.Trojan.Expert\Anti-Hacker&Trojan Expert\Firewall.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\NoNameScript\mirc.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Dokumente und Einstellungen\Ben\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Anti-Hacker Expert Firewall] C:\Programme\Anti.Hacker.and.Trojan.Expert\Anti-Hacker&Trojan Expert\Firewall.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Joyo - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\ANTIHA~1.EXP\ANTI-H~1\IEPlugin.dll
O9 - Extra button: PowerWord - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\ANTIHA~1.EXP\ANTI-H~1\IEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/c ... /kt3_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/c ... /nt1_x.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://anu.popcap.com/games/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF0A1DE8-AA5D-4CF2-BD07-06841FD72D6F}: NameServer = 217.237.151.97 217.237.150.33

Hoffe du gibst mir auch noch ein paar Tipps zu neuen/guten Antivir Progs da mir Avast! zuviel Speicher zieht meiner Meinung nach,

greetz memph1s`-

von **Nikita** am 18.11.2004, 02:51

Hallo@sAd*memph1s

Das hast du alles gut und sauber erledigt

Tips:

#ueberwachungstool (Startseitenueberwachung)
#Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html
Das Tool ab und zu updaten und immer aktiviert halten.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!

#Antivirus (free)
http://www.free-av.de/
stelle Scanner + Guard ein: "alle Dateien" und "Heuristik" mittel
und update jeden Tag

Surfe nicht mit dem IE
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

saeubere\optimiere den PC ..stelle aber nichts an der Internetoptimierung rum, weil das Tool nur 30 Tage free ist und Veraenderungen in der Registry vorgenommen werden, die du dann nicht kennst. Ich verwende das Tool zur Reinigung und Optimierung.
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/

Wenn was rotes erscheint...komme ins Forum !
#HijackThis-Auswertung
http://www.hijackthis.de/

mfg
Nikita

von **sAd*memph1s** am 18.11.2004, 08:21

Ich danke dir nikita für deine Hilfe.

Wollt dir noch sagen das ich seit ich inet hab auf Mozilla vertraue und Ad-Aware Professional seit langem habe

. Und das lustige ist das ich genau den Antivir hatte bevor ich auf meinen Freund gehört hab der mir Avast! empfohlen hat. Hab ja gesehn was das Prog kann ^_^.

Hoffe du kannst mir noch ne sehr gute Firewall empfehlen.

Danke nochmal bist ne sehr gute Hilfe dich kann man nur empfehlen

greetz memph1s`-

von **Nikita** am 18.11.2004, 12:41

Hallo@sAd*memph1s

Das sind alles Testversionen...also nicht Free

#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]

#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen.

#Trial versions of F-Prot Antivirus
http://www.f-prot.com/download/corporate/trial/

#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
......................................................................................................
So sichern Sie sich vor Viren, Trojanern und anderen ungebetenen Gästen
http://www.comsafe.de/

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

microsoft.public.de.security.heimanwender FAQ
http://faq.underflow.de/#SECTION000110000000000000000
......................................................................................................
<Sygate (Deutsch)Firewall
http://www.sygate.de/

<Supportforum(Sygate, Firewall)
http://forum.webmart.de/wmmsg.cfm?id=21 ... &t=2141055
<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php

<Sygate-Portscann
http://scan.sygatetech.com/

mfg
Nikita

[Microsoft Office] lserv.exe -->> Backdoor W32/Rbot-R

[Microsoft Office] lserv.exe -->> Backdoor W32/Rbot-R

IRC/BackDoor.SdBot.25.AA/ -> [Microsoft Office] lserv.

Ähnliche Themen

Wer ist online?