Ein virus wurde in Ihrer Email gefunden.
Dieser Email Scanner unterbrach die Versendung der Nachricht an den Empfaenger.

Der virus scheint folgenden Typs zu sein:

Worm.SomeFool.P

Bitte besorgen Sie sich einen Virenscanner bzw. ein Update fuer Ihren
Virenscanner und benachrichtigen Ihre EDV-Abteilung so schnell, wie moeglich.

http://www.viruslist.com/en/viruses/enc ... usid=22760

Der Worm.SomeFool.P wird von den meisten AV-Firmen als Netsky.P bezeichnet

Die Varianten der Würmer Bagle und Netsky werden immer zahlreicher. Bei Netsky haben die Hersteller von Antivirensoftware bereits die P-Variante gemeldet. Das Besondere an ihm ist, dass er unter anderem eine alte Lücke in ungepatchten Versionen des 5.01 und 5.5 des Internet Explorer ausnutzt, bei der das Anschauen einer HTML-Mail ausreicht, um das beigefügte Attachment automatisch auszuführen. Auch eine der vielen Bagle-Varianten -- Bagle.q -- infiziert Systeme über ein Sicherheitsloch im Internet Explorer 6.0, bei der das Lesen einer HTML-Mail zum Nachladen von bösartigem Code führt. Damit sind zwei Würmer unterwegs, die nicht mehr auf eine unüberlegte Aktion des Anwender, etwa den Doppelklick auf den Dateianhang, angewiesen sind.

Wie auch seine Vorgänger verbreitet sich Netsky.p von infizierten Systemen per E-Mail und über P2P-Netze. NAI und Trend Micro haben das Risiko für Netsky.p auf "Medium" erhöht. Anwender sollten ihre Viren-Signaturen aktualisieren. Sofern noch die älteren Versionen des Internet Explorer im Einsatz sind, sollten die Patches installiert werden. Abhilfe schafft auch die Deaktivierung der HTML-Ansicht im E-Mail-Client.

Home / Viruses / Virus Encyclopedia / Malware Descriptions / Network Worms / Email Worms
Email-Worm.Win32.NetSky.q
Other versions: .ac, .b, .c, .d, .e, .m, .o, .r, .t, .y

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Aliases
Email-Worm.Win32.NetSky.q (Kaspersky Lab) is also known as: I-Worm.NetSky.q (Kaspersky Lab), W32/Netsky.ad@MM (McAfee), W32.Netsky.P@mm (Symantec), Win32.HLLM.Netsky.based (Doctor Web), W32/Netsky-P (Sophos), Win32/Netsky.P@mm (RAV), WORM_NETSKY.P (Trend Micro), Worm/NetSky.P.2 (H+BEDV), W32/Netsky.P@mm (FRISK), Win32:Netsky-P (ALWIL), I-Worm/Netsky.Q (Grisoft), Win32.Netsky.P@mm (SOFTWIN), Worm.SomeFool.P-dll (ClamAV), W32/Netsky.P.worm (Panda), Win32/Netsky.Q (Eset)
Description added Mar 24 2004
Behavior Email Worm

[ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norton Antivirus AV" = %windir\fvprotect.exe

The worm also creates a file named userconfig9x.dll in the Windows directory, and files with the following names:
zipped.tmp

base64.tmp
zip1.tmp
zip2.tmp
zip3.tmp

These files are copies of the worm in UEE format and ZIP archives containing copies of the worm. Files within the archive will have names chosen from the following list:

document.txt.exe
data.rtf.scr
details.txt.pif

The worm creates a mutex, ""_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_", to flag its presence in the system.

and sends copies of itself to email addresses harvested from these files. The worm uses its own SMTP library to send messages. The worm also attempts to establish a direct connection to the message recipient's server.

The worm may send messages which contain the IFRAME Exploit, in the same way that Klez.h and Swen did. When this happens, if the message is viewed using a vulnerable mail client, the archive file containing the worm will be launched automatically.

If the worm finds the keys listed below in the system registry key

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

it will delete them.

Explorer
system.
msgsvr32
winupd.exe
direct.exe
jijbl
service
Sentry
au.exe
direct.exe
d3dupdate.exe
OLE
gouday.exe
rate.exe
Taskmon
Windows Services Host
sysmon.exe
srate.exe
ssate.exe
winupd.exe

It will also delete the keys

system.
Video

from

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

and the following key values, created by I-Worm.Bagle.

HKLM\SYSTEM\CurrentControlSet\Services\WksPatch
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKCR\CLSID\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

Hallo Nikita!

Ich hab nochmals alles gecheckt... ICH bins DEFINITIV nicht..... aber ich hab dafür wieder mal andere Probleme. Seit dem neu aufsetzen, muss ich jedes mal die Windows Firewall manuell aktivieren. Ausserdem braucht mein Lapi ewig zum Hochfahren.
Alle Programme gehen ziemlich langsam.

Hier mein Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 10:59:54, on 15.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Claudia\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB7C7775-0F7E-4CB3-B0CA-4CD2B4A6A258}: NameServer = 192.168.0.100
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



vielen Dank und schöne Pfingsten,

network-mama

Hallo@network-mama

Fixe mit dem HijackTHis.
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
damit es aus dem Autostart kommt.
(dort sollte das Programm nicht sein, du kannst es immer manuell einstellen)

Mache das Nachts, wenn du den PC nicht brauchst und ohne Internetverbindung)
•Zum Starten des Dienstprogramms Datenträgerbereinigung klicken
Sie auf Start, zeigen auf Programme, zeigen auf Zubehör, zeigen auf Systemprogramme und klicken anschließend auf Datenträgerbereinigung.

#Rechtsklick-->Arbeitsplatz-->Eigenschaften-->Erweitert-->fuer optimale Leistung anpassen (Heakchen setzen)

dann ueberpruefe den PC bitte mit Onlinscanns:
http://nikita.eddys-domain.de/onlinescan.html

ueberpruefe bitte folgenden Schluessel:--> was steht da ?

"FirewallDisableNotify"="
" in key "HKLM\Software\Microsoft\Security Center".

Yippieh - Nikita !!! Schön von dir zu lesen....

Fixen erledigt. Neuer Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:37:13, on 15.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Claudia\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB7C7775-0F7E-4CB3-B0CA-4CD2B4A6A258}: NameServer = 192.168.0.100
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Rest mach ich jetzt.....

Merci.... - du - ich hab auch den Messenger gefixt. Hoffe, das war so richtig - - - ????? - der startet nämlich auch immer automatisch bei Systemstart.

so - jetzt mach ich die anderen sachen.

lg nwm

den Messi kannst du auch manuell einstellen

*hüstel* Nikita....

Datenträgerbereinigung - ja - alles klar... bei mir geht da aber nur ein "Minifenster" auf, wo die dann gleich gestartet wird. Bei Rechtsklick geht dann nur "Schließen"

Bzw. wenn ich das Programm dann ganz öffne kommen zwei Reiter mit: Datentr... bereinigen und "Weitere Optionen" - wo ich auswählen kann, was er löschen soll wie zB. Papierkorb etc.

Bin ich da wo falsch gelandet???

klar, bist du falsch gelandet (weil ich ein Kamel bin

Ich meinte das Defragmentieren)

Start-->Arbeitsplatz-->rechtsklich auf c:\-->Eigenschaften-->Extras-->Defragmentieren

...niemand ist unfehlbar... auch nicht ein PROFI

wirst trotzdem mein "Großmeister" bleiben

... ich mach mich jetzt ran und dann poste ich - spätestens heute abend, was sich ergeben hat.

Das mit den e-mails geht schon wieder los.... (siehe Private Nachricht an dich!!!!!)

network-mama hat geschrieben:...niemand ist unfehlbar... auch nicht ein PROFI

wirst trotzdem mein "Großmeister" bleiben

... ich mach mich jetzt ran und dann poste ich - spätestens heute abend, was sich ergeben hat.

Das mit den e-mails geht schon wieder los.... (siehe Private Nachricht an dich!!!!!)

*************************************************

*hmm* - irgendwie ist da was net wirklich richtig - bei Rechtsklick auf C:/ - wie du geschrieben hast- kommt dann "Eigenschaften" und

Allgemein
Extras
Hardware
.......

und unter Extras kommt:

Fehlerüberprüfung "Button start"
Defragmentierung "Button start".

Des wars dann aber. Da kann man nirgendst ein Hakerl setzen????
*hm* - entweder sitz ich auf der Leitung oder irgendwas passt da net ganz......

Hab auch schon andere Reiter ausprobiert - ich find das aber net.
"fuer optimale Leistung anpassen (Heakchen setzen)"

..... hab auch Defrag-Überprüfung gemacht. 81% freier Speicher...
"Das Volume muss nicht defragmentiert werden".... (hab ja erst vor 1,5 Wochen Lapi neu aufgesetzt)

und jetzt??? Ich schick dir mal einen Kübel voll "Baldrian" zu dir, damit du dich nicht zuviel mit mir ärgern musst

Hy Nikita!

Hab jetzt 3 deiner online-scans drüberlaufen lassen. die finden 0,nix .....

Lg Network-mama

Defragmentierung "Button start".
<--Haekchen setzen oder "Start"

Guten Morgen, Nikita!

Erledigt. Defragmentiert auch.... was meintest du mit dem "Schlüssel"... ich seh den ja auch so wie du. Ich poste das aktuellste Hijack nochmals.

Logfile of HijackThis v1.99.1
Scan saved at 09:26:27, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Claudia\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB7C7775-0F7E-4CB3-B0CA-4CD2B4A6A258}: NameServer = 192.168.0.100
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

lg

network-mama hat geschrieben:Guten Morgen, Nikita!

Erledigt. Defragmentiert auch.... was meintest du mit dem "Schlüssel"... ich seh den ja auch so wie du. Ich poste das aktuellste Hijack nochmals.

Logfile of HijackThis v1.99.1
Scan saved at 09:26:27, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Claudia\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB7C7775-0F7E-4CB3-B0CA-4CD2B4A6A258}: NameServer = 192.168.0.100
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

lg

nochwas - die windows firewall muss ich nach wie vor manuell aktivieren.....

Hallo@network-mama

Fixe, das ist ein Dialer !!!!!!!!!
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C1DDE44B-39E5-4D8F-BFC8-59BC5CF8E590} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)


Mit xpAntiSpy kann man den Nachrichtendienst und weitere überflüssige Funktionen unter WinXP deaktivieren.
Download: xp-AntiSpy (offizielle Homepage)
http://nikita.eddys-domain.de/neu.html

Achtung:
Die Domains *www.xp-antispy.de* und *www.xpantispy.de* gehören weder zum Projekt xp-AntiSpy noch gehören sie zu mir.
Der Betreiber versucht ahnungslosen Besuchern einen 0900 Dialerprogramm unterzujubeln.
Bitte fallt nicht darauf herein und meidet diese Domains!

Grüsse, -Chris-

------------------------------------------------------------------------------
aber wie so oft...wenn es Virenbefall gegeben hat, werden auch Werte in der Registry verstellt.

Hier ein Beispiel:


http://www.heise.de/newsticker/result.x ... s=Trojaner

Anwender sollten nur bedingt auf die Informationen des mit dem Service Pack 2 für Windows XP eingeführten Security Centers vertrauen. Diese lassen sich fälschen und sogar unterdrücken, zumindest wenn der Benutzer als Administrator arbeitet -- was wohl der Großteil immer noch tut. Das Security Center soll dem Anwender die Möglichkeit geben zu kontrollieren, ob Firewall, Auto-Update und Virenschutz aktiviert sind und ordnungsgemäß arbeiten. Zudem warnt das Security Center normalerweise mit einem roten Schild und einem Hinweis im System-Tray (rechts unten), wenn eine oder mehrere der drei Funktionen deaktiviert sind.

Allerdings lassen sich diese Warnungen auf einfache Weise abschalten. Dazu muss man in der Registry unter HKLM\SOFTWARE\Microsoft\Security Center die Schlüssel AntiVirusDisableNotify, FirewallDisableNotify und UpdatesDisableNotify auf 1 setzen. Schaltet nun etwa ein Trojaner oder eine Backdoor die Firewall ab, so erscheint keine Warnung. Nur beim direkten Aufruf des Security Centers sieht man, dass der Dienst deaktiviert ist.

Das PC Magazine hat aber nach eigenen Angaben Wege gefunden, um auch diese Angaben zu fälschen. Demnach reichen einige Einträge in die WMI-Datenbank (Windows Management Instrumentation), um dem Anwender die ordentliche Funktion vorzutäuschen. Über die WMI-API lässt sich so der Status der Firewall als "Aktiviert" festlegen, auch wenn diese gar nicht läuft. Zudem kann man nicht existierende Firewalls und Virenscanner in die Datenbank eintragen und als "Aktiviert" anzeigen.

Mitunter muss ein Schädlingsprogramm, das etwa eine Backdoor öffnen will, gar nicht die Firewall deaktivieren und dies anschließend verschleiern. Unter dem Schlüssel der Ausnahmeliste
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
lassen sich von jeder Applikation Einträge vornehmen, um fortan Verbindungen auf einem Server-Port entgegenzunehmen. Zusätzlich kann es auch die Firewall-API ohne Benutzernachfrage aufrufen, um sich den benötigten Port freizuschalten.

Ist ein Schädling also erstmal ins System eingedrungen, halten ihn die neuen Funktionen nicht auf. Microsofts Kommentar zu dem Problem geht in die gleiche Richtung: "Service Pack 2 bietet Funktionen, um die Wahrscheinlichkeit zu verringern, dass auf dem PC ungewollte Applikationen laufen. Dazu sind die Firewall, die Data Execution Prevention und der Attachment Execution Service standardmäßig aktiv, um nur einige zu nennen. Um die WMI-Einträge des Security Centers zu fälschen, muss man System-Zugriff auf den PC haben. Wenn der Anwender Programme herunterlädt und startet, die dazu in der Lage sind, hat er damit ohnenhin Hacker in die Lage versetzt, zu tun und zu lassen, was sie wollen."

Abhilfe schafft hier nur das Arbeiten mit eingeschränkten Nutzerrechten. Dann nämlich ist der schreibende Zugriff auf die wichtigen Teile der Registry und die WMI-Datenbank nicht mehr möglich. Wie man auch ohne Administratorrechte unter Windows arbeiten kann

Yessas na - wie komm ich denn zu so einem sh....?? Bei ADSL kann mir ein Dialer aber nicht viel anhaben, oder? Den hab ich mir dann sicher von xp-antispy runtergeholt. Na bravo. Bin gespannt, wenn ich jetzt neu starte, ob ich dann meine Firewall noch immer manuell aktivieren muss.

Many thanx!

lg network-mama


Logfile of HijackThis v1.99.1
Scan saved at 16:05:40, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\TraXEx\TraXEx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Claudia\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB7C7775-0F7E-4CB3-B0CA-4CD2B4A6A258}: NameServer = 192.168.0.100
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe