Internet-browser verlangsamt - Angriff Dcom-Exploit -

von **Noob-otronic** am 26.07.2005, 10:21

Hallo, wäre für Hilfe echt dankbar!!

vorab: ich bin ein echter noob!
Folgendes Problem: seit etwa einer Woche funkioniert mein internet nur noch sehr langsam (unabhängig vom Browser) - benutzte damals nur kapserski und windows firewall - keine viren gefunden - habe dann noch avast und avg runtergeladen - auch keine viren gefunden -
habe heute mal die windows firewall ausgestellt und bekomme dann immer von avast die nachricht: Dcom-exploit geblockt etc..

Was tun, stehe echt auf dem Schlauch, habe mal meine hijack-file angehängt:

Logfile of HijackThis v1.99.1
Scan saved at 09:42:48, on 26.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\system32\tapicl32.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\T-DSL Business\bolog.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Programme\Netscape\Netscape Browser\netscape.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\TIMOBE~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.msn.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [Tapimkl] C:\WINDOWS\system32\tapicl32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\bolog.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Sinus 154 stick.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7428334010
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C19E6B7-8AD0-4202-BD72-6AF3EBA5DABB}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C19E6B7-8AD0-4202-BD72-6AF3EBA5DABB}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Vielen Dank für Hilfe '!!!!
:oops:

von **Holy Marcell** am 26.07.2005, 11:01

Ich sehe in deinem Log nichts.
=====================

Bitte mache einen Escan und poste das Logfile:
http://nikita.eddys-domain.de/escan.html

=====================

Mache einige Onlinescans und lösche alles was die finden mit der killbox:
http://nikita.eddys-domain.de/onlinescans.html
http://nikita.eddys-domain.de/killbox.html

=====================

Mache scans mit ad-adware, Spybot S&D, Antivir (oder deinem virenscanner)

von **Noob-otronic** am 26.07.2005, 11:19

Du wirst sicher recht haben, aber in der Liste von Nikkita "verdächtige Einträge..." habe ich doch einige gefunden, die auch bei mir auftauchen, wie z.B. windows/system32/lsass.exe (sasser) - eigentlich habe ich die ersten Einträge fast alle in der Liste wiedergefunden - habe aber Probleme bei der Beseitigung bzw. bin mir eben nicht sicher, ob da was dran ist!
Vielen Dank schon mal für deine bisherige Antwort
mfg

von **Yourhighness** am 26.07.2005, 12:00

Mache die Scans. Ich schaue mir dein Log etc pp Heute abend nach der Arbeit an. Jetzt habe ich keine Zeit!

MfG,

von **Holy Marcell** am 26.07.2005, 14:16

PM an mich von n00b hat geschrieben:Allerdings verstehe ich nicht so ganz wieso da nichts ist, weil bei der Liste von nikkita "......Einträge in den.." einige auch bei mir zu fiinden sind, so z.b. windows/systems32/lsass (sasser)

hast du denn ein aktuelles Logfile geposted?

Mach mal die scans wie Yourhighness sagt und Denn Saasser kannst du bedenkenlos Löschen.
(wenn du ihn hast)

von **Noob-otronic** am 26.07.2005, 14:42

Hallo, habe den e-scan durchgeführt, konnte aber den LOG wie in der Anleitungvorgegeben nicht richtig öffnen, nur den ganzen Untersuchungsvorgang, daraus habe ich mal die Stelle kopiert, an der e-scan einen virus gefunden hat:

Tue Jul 26 11:50:03 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Tue Jul 26 11:50:03 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Jul 26 11:50:03 2005 => Loading Spyware Signatures from External Database...
Tue Jul 26 11:50:11 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Tue Jul 26 11:50:11 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jul 26 11:51:28 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Jul 26 11:51:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Teledat\Msvcrt.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Teledat\Mfc42u.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Teledat\Msvcirt.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Teledat\Mfc42.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:30 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\msxml3a.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:30 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\pxsfs.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:33 2005 => Entry "HKCR\CLSID\{195B4650-7FB2-471A-A3C5-CEEF84EFB2BF}" refers to invalid object "C:\DOKUME~1\TIMOBE~1\LOKALE~1\Temp\ins1.tmp\BWHelper.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:34 2005 => Entry "HKCR\CLSID\{307A6C42-0000-0010-8000-00AA00389B71}" refers to invalid object "C:\Programme\Warcraft III\blizzard.ax". Action Taken: No Action Taken.

Tue Jul 26 11:51:34 2005 => Entry "HKCR\CLSID\{36773DF3-37FC-47B6-9F8F-CC4699917938}" refers to invalid object "E:\Acer\tools\LaunchRS.ocx". Action Taken: No Action Taken.

Tue Jul 26 11:51:34 2005 => Entry "HKCR\CLSID\{39C2529F-1184-11D6-8AB3-0050BF127F63}" refers to invalid object "c:\programme\t-online\t-online_software_5\browser\app_migrator.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:34 2005 => Entry "HKCR\CLSID\{4464114B-EBEC-11D6-9534-00E02932CC2E}" refers to invalid object "C:\Programme\Gemeinsame Dateien\fun communications\funAd.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:37 2005 => Entry "HKCR\CLSID\{7D40BE24-67B4-11D4-B7C0-0050044A0724}" refers to invalid object "C:\Programme\Gemeinsame Dateien\fun communications\UdaComServer.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:38 2005 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:38 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:38 2005 => Entry "HKCR\CLSID\{90914AA1-0A85-407B-AA90-AD5BE725D805}" refers to invalid object "E:\Acer\tools\LaunchRS.ocx". Action Taken: No Action Taken.

Tue Jul 26 11:51:38 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:41 2005 => Entry "HKCR\CLSID\{CC93F1D5-BAE8-11D4-BB7E-00E0290BFBAA}" refers to invalid object "C:\PROGRA~1\GEMEIN~1\FUNCOM~1\FUNINT~1.DLL". Action Taken: No Action Taken.

Tue Jul 26 11:51:42 2005 => Entry "HKCR\CLSID\{E726E415-FC33-451A-A309-00A95540596F}" refers to invalid object "C:\Programme\Gemeinsame Dateien\fun communications\funAd.dll". Action Taken: No Action Taken.

Tue Jul 26 11:51:46 2005 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken.

Tue Jul 26 11:51:46 2005 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Tue Jul 26 11:51:46 2005 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.

Tue Jul 26 11:51:52 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.

Tue Jul 26 11:51:52 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Tue Jul 26 11:51:52 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

Tue Jul 26 11:51:55 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Tue Jul 26 11:51:55 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.

Tue Jul 26 11:51:56 2005 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Tue Jul 26 11:51:56 2005 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.

Tue Jul 26 11:51:58 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

Tue Jul 26 11:51:58 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

von **Holy Marcell** am 26.07.2005, 14:55

Hm was meinst du mit nicht richtig öffnen?
Wir brauchen das log, mit dem o.g können wir wenig anfangen.

Würdest du bitte das andere auch machen?

von **Noob-otronic** am 26.07.2005, 15:16

Ja, wenn ich die datei wie in der anleitung beschrieben öffne, dann öffnet sich nur die gesamte Scan-Log - Datei, also der gesamte untersuchungsvorgang, den kann ich natürlich posten, wenn hilfreich?

Da kommt auch nichts mit Häkchen oder so machen!

von **Holy Marcell** am 26.07.2005, 15:19

Das hier brauchen wir (so ähnlich) und zwar alles acuh wenn du mehrmals posten musst:

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Wed Jun 08 10:46:48 2005 => File C:\Dokumente und Einstellungen\Sabine\Desktop\Nailfix.zip tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken.
2: Wed Jun 08 10:47:34 2005 => File C:\Dokumente und Einstellungen\Sabine\Desktop\Neuer Ordner\Installer\Neuer Ordner\Sicherheit\HSFix.zip tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken.
3: Wed Jun 08 10:48:12 2005 => File C:\Dokumente und Einstellungen\Sabine\Desktop\Neuer Ordner\Sicherheit\HSFix.zip tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Wed Jun 08 10:48:48 2005 => Entry "HKCR\CLSID\{98F63271-6C09-48B3-A571-990155932D0B}" refers to invalid object "C:\WINDOWS\System32\Setup\fxsocm.dll". Action Taken: No Action Taken.
--------------------------------------------------
------------- FILES ADDED TO DELETE --------------
--------------------------------------------------

1: C:\Dokumente und Einstellungen\Sabine\Desktop\Nailfix.zip => tagged:Tool.Win32.Processor.20.
2: C:\Dokumente und Einstellungen\Sabine\Desktop\Neuer Ordner\Installer\Neuer Ordner\Sicherheit\HSFix.zip => tagged:Tool.Win32.Processor.20.
3: C:\Dokumente und Einstellungen\Sabine\Desktop\Neuer Ordner\Sicherheit\HSFix.zip => tagged:Tool.Win32.Processor.20. [url][/url]

Es sollte vielleicht noch eine "infected" line dastehen...

von **Noob-otronic** am 26.07.2005, 15:35

Nee, habe mir den gesamen Log mal angeschaut - keine sequenz wie die angeforderte Dabei, vielleicht lass ich den escan nochmal durchlaufen, wenn es so nichts bringt, vielen dank aber für die Hilfe und die geduld - ich poste dann mal den neuen log, soweit ich fündig werde - hast du aber vielleicht einen tipp wie ich den sasser und den altnet spyware virus rausschmeiße?

von **Holy Marcell** am 26.07.2005, 17:59

Im "MWAV.log" ist nichts zu finden?

Bild

von **Yourhighness** am 26.07.2005, 18:27

Hi!

Fixen:

( Wenn Du das nicht kennst:)

O4 - HKLM\..\Run: [Tapimkl] C:\WINDOWS\system32\tapicl32.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

NEUSTART

++++++++++++++++++++++++++++++

Dann wart ich mal auf den Escan ;-)

MfG,

von **Noob-otronic** am 27.07.2005, 09:57

Hi,

zu Holy Marcel:

Ja genau wie auf den Bildern von Dir beschrieben bin ich vorgegangen, da kam aber nicht der gewünschte Log, sondern nur der gesamte Status des scan vorgangs ohne die entsprechende Sequenz. Es gab auch keine Files zum löschen.

zu Yourhigness:

Ich habe gestern abend mal verschiedene Systemwiederherstellungen durchgeführt, nach einem Stand von vor zwei Monaten habe ich dann ein System gefunden, welches einwandfrei funktionierte. Dann habe ich aber trotzdem mal deinen Rat befolgt, und habe noch mal Hijack-this durchlaufen lassen, und die von Dir angebenen Positionen zum fixen waren noch da, die habe ich also gefixed! System läuft noch einwandfrei, trotzdem noch escannen und Log posten?

Vielen Dank Euch Beiden!! (Superforum!!) :lol:

von **Holy Marcell** am 27.07.2005, 15:26

Wenn du das gemacht hast und du sicher bist das du bei dem Wiederherstellungspunkt bleiben willst solltest du unbedingt die systemwiederherstellungen löschen (da könnten sich viren eingenistet haben).

How to:

[Windows-Taste] + [Pause]

Bild

Häkchen rein ==> Neustart ==> Raus ==> Neustart

und dann mache nochmal alles o.g. scans.

======================
Ans Dirk: Ich hoffe du hast verständniss, dass ich schon zum wiederholten male dein bild klaue ^^.

Internet-browser verlangsamt - Angriff Dcom-Exploit -

Internet-browser verlangsamt - Angriff Dcom-Exploit -

Lsass etc

Ähnliche Themen

Wer ist online?