Minsen!

Hab bei mir auf dem PC aus Versehen nen Server gestartet und bekomme zu Anfang immer die Nachricht, das er gestartet wurden ist.
Ich hab wirklich garkeinen Bock, dass Hacker auf meinen PC kommen können, da der Server ohne Pwd versehen ist.


Wie kriege ich das nun wieder weg?


Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:18:07, on 20.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\apfsvjn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Programme\D-Tools\Daemon Tools 3.33\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\okxxjlayewdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dj Silverbell\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.informationsarchiv.net/foren/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Unterhaltungsmedien\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe okxxjlayewdb.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Unterhaltungsmedien\ICQToolbar\toolbaru.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - e:\programme\steganos internet anonym pro 7\siapro7iep.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\Daemon Tools 3.33\daemon.exe" -lang 1031 -lock
O4 - HKLM\..\RunServices: [WinLoader] gpuqliw.exe
O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\apfsvjn.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Unterhaltungsmedien\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ArchiCrypt Stealth - {5A62567B-9F3A-468A-8200-E7D33EA8845B} - E:\Programme\ArchiCrypt Stealth 3\ACStealth3.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Unterhaltungsmedien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Unterhaltungsmedien\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 7107254886
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7107246355
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://data.flatcast.com/NpFp415.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - http://www.flatcast.de/objects/NpFp412.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{214873E5-BFA2-4C64-A118-BF2CDC1C058E}: NameServer = 217.237.149.161 217.237.151.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Fixe mit HJT vorerst dies:

F2 - REG:system.ini: Shell=Explorer.exe okxxjlayewdb.exe

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - e:\programme\steganos internet anonym pro 7\siapro7iep.dl

O4 - HKLM\..\RunServices: [WinLoader] gpuqliw.exe

O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\apfsvjn.exe

============================

Den rest wird dir Yourhighness machen.

Du hattest letztens mal gefragt, ob Sp2 sinnvoll ist:

O4 - HKLM\..\RunServices: [WinLoader] gpuqliw.exe

O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\apfsvjn.exe

Kommt mit sp2 nicht mehr...

Holy Marcell hat geschrieben:Fixe mit HJT vorerst dies:

F2 - REG:system.ini: Shell=Explorer.exe okxxjlayewdb.exe

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - e:\programme\steganos internet anonym pro 7\siapro7iep.dl

O4 - HKLM\..\RunServices: [WinLoader] gpuqliw.exe

O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\apfsvjn.exe

Wie fixe ich denn etwas mit HJT?

Holy Marcell hat geschrieben:Du hattest letztens mal gefragt, ob Sp2 sinnvoll ist:

O4 - HKLM\..\RunServices: [WinLoader] gpuqliw.exe

O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\System32\apfsvjn.exe

Kommt mit sp2 nicht mehr...

Habe SP 2 bereits installiert.
apfsvjn.exe kam auch erst, nachdem ich das installiert habe

Fixen:

Hijack This Starten ==> Button: Noone of the above just start the programm ==> Button Scan ==> Die Checkbox vor folgenden Einträgen Aktiviren ==> Button Fix Checked ==> Neustart



So sieht dein Log aus:

Platform: Windows XP (WinNT 5.01.2600)

So sieht eins mit sp2 aus:

Platform: Windows XP SP2 (WinNT 5.01.2600)

...

Aber ich habe doch sogar einen Thread erstellt, weil es mit komisch vorkam, dass SP2 bei mir 2 mal installiert wurde.

Könntest du mir vllt den direkt-Link zur Site von dem Update geben?
Glaube, dass das bei mir irgendwie nicht richtig ging.

Gib mal bei Microsoft: "KB835935" in die Suche ein.

Aber es reicht, wenn du die "Automatischen Updates" Aktivierst. Dann bekommst du auch immer die sg. Critical Updates.

Also den Dienst habe ich deaktiviert.

hab den dann, als ich das Update gemacht habe, wieder aktiviert und habe das up auch gezogen... aber es scheint wohl nicht geklappt zu haben.

werde aber auf jeden Fall das mit der Microsoft-Suche machen, hoffentlich klappt das


Edit:
Oha!!!
Das ist ja 265 MB groß! Mein letztes war mal gerade weniger als 1 MB groß!


1. Frage:
Auf der Seite steht
Windows XP Service Pack 2-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
Hole ich denn jetzt das richtige?

2. Frage:
Auf der Seite stand folgendes:

Benutzer, die diesen Download gewählt haben Windows XP Service Pack 2-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler haben auch Folgendes gedownloadet:

Internet Explorer 6 Service Pack 1
Sicherheitsupdate für Windows XP (KB899588)
Microsoft® Windows®-Tool zum Entfernen bösartiger Software (KB890830)
Kumulatives Sicherheitsupdate für Internet Explorer unter Windows XP Service Pack 2 (KB896727)
Kumulatives Sicherheitsupdate für Internet Explorer unter Windows XP Service Pack 2 (KB883939)

Soll ich eins von den Sachen noch holen?

Hab nun die Sachen gefixt, die du gesagt hast.

Aber immer wenn ich Windows neu starte, zeigt mir dei Firewall an, dass ich eine neue Datei habe.
Und die Datei ist definitiv eine Kopie des Servers, nur mti anderen namen, weil die selbe Mitteilung immernoch zu Anfang kommt.


Sollte ich jetzt nochmal formatiern und SP 2 sofort danach installieren oder gibt es noch eine Möglichkeit?

Wenn ich formatiern sollte, wie kriege ich es dann hin, dass die Registrierungseinträge für die programme, die ich auf dem Rechner habe, wieder da sind?

hab bei meiner letzten formatierung vor ein paar Tagen die Registrierungseinträge exportiert und anschließend wiede reingemacht.

Dadurch kamen aber auch ptrobleme wie z.B. das die benutzeranmeldung falsch ist, trotz anderer Einstellungen.


Edit:
Ich weiss jetzt, warum das Design bei mir ohne Ende rumgesponnen hat.
ich hatte Style XP installiert und die Festplatte, auf der Style XP war formatiert.
Da ich vor der Formatierung die Registrierungseinträge exportiert und dann wieder importiert hatte und Style XP danach logischer Weise nicht mehr drauf war, ist es wohl durcheinander gekommen ^^

Sp2 für Spezialisten und Entwickler ist richtig. Die anderen Tools musst du nicht unbedingt herunterladen, das sollte austomatisch geschehen. (das sind die Sogenannten "Critical Updates")
Ist dein Problrm damit erledigt?