Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\lssas.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdmcon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
D:\toools\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F9555A7-EF23-4DCE-9C45-965D1C40BD12}: NameServer = 217.237.151.33 194.25.2.129

kann mir jemand sagen wieso ich trotz format c...so merkwürdige exen im task habe ? und eine msthost.exe wollte auch irgendwas connecten,hab ich ersmal geblockt

bis auf eine sind die normal .. aber diese eine die ich meine die klingt überhaupt nicht gut : D:\toools\HijackThis.exe

HiJackThis -> http://www.spychecker.com/program/hijackthis.html

Ansonsten alles in bester Butter.

Lsass.exe is aber 2 mal drin und soll angeblich ein worm sein und msthost ein trojaner..noch dazu liessen sich alle 3 unter eigenschaften keiner firma zuordnen...nur wenn dann müen die ja im bootsector gewesen ein oder ?

mmm...

C:\WINDOWS\system32\altsvc.exe <--- unknown, scheint ein Bestandteil von MSHost.exe zu sein ...
mshost ??? DANGER (http://securityresponse.symantec.com/avcenter/venc/data/backdoor.baste.html) !!!
C:\WINDOWS\system32\lssas.exe <--- Sober (http://www.antivir.de/vireninfo/sober.htm) !!!
C:\WINDOWS\system32\service.exe <--- Virus/ Wurm/ Trojaner, gibt mehrere Abwandlungen dazu, darum kann ich nicht sagen, was es ist ...

Du solltest mal dringend deinen Virenscanner updaten oder testweise einen anderen nehmen, empfehle AntiVir (http://www.free-av.de/) ...

Kurgan und barracuda
Ihr scheint sehr saubere System zu haben ;D ... vorsichtig bei den meisten Sachen, sie unterscheiden sich im Namen meistens nur um einen einzigen Buchstaben ...

Original geschrieben von Lokadamus
mmm...

C:\WINDOWS\system32\altsvc.exe <--- unknown, scheint ein Bestandteil von MSHost.exe zu sein ...
mshost ??? DANGER (http://securityresponse.symantec.com/avcenter/venc/data/backdoor.baste.html) !!!
C:\WINDOWS\system32\lssas.exe <--- Sober (http://www.antivir.de/vireninfo/sober.htm) !!!
C:\WINDOWS\system32\service.exe <--- Virus/ Wurm/ Trojaner, gibt mehrere Abwandlungen dazu, darum kann ich nicht sagen, was es ist ...

Du solltest mal dringend deinen Virenscanner updaten oder testweise einen anderen nehmen, empfehle AntiVir (http://www.free-av.de/) ...

Kurgan und barracuda
Ihr scheint sehr saubere System zu haben ;D ... vorsichtig bei den meisten Sachen, sie unterscheiden sich im Namen meistens nur um einen einzigen Buchstaben ...
nun, die von dir angegebenen prozesse KÖNNEN gekaperte systemprozesse sein, müssen aber nicht. und wer heutzutage ohne scanner unterwegs ist, dem ist eh nicht zu helfen.

AntiVir Removal Tool V1.07 (c) 2004 H+BEDV
Removal Tool for Lovsan/Blaster, Sober, Bagle, Mimail.Q, Mydoom.A/B
Version: Jan 28 2004 21:00:01

Use /? to list all available comand line options


- Host: "xxx", IP: xxx.xxx.xxx.xxx

Scan started: "C:\"

- Performing memory check:
-> No malware found in memory

Finished scanning.

Checked directories: 1827
Checked files: 22834


als beweis .. sieht doch nit schlecht aus oder? ;)

mit dem doppelten lssas.exe ist allerdings korrekt, das dürfte sober sein. hab ich wohl überlesen, man sollte sowas beim kontrollieren auch nach namen sortieren ;)

mmm...

??? Service.exe ist definitiv kein (http://www.liutilities.com/products/wintaskspro/processlibrary/service/) Windows- Dienst, mshost.exe wird bei Google nicht so oft gefunden (also unbekannt) und die altsvc.exe findet man bei Google momentan noch nichtmal eine ganze Seite voll -> definitiv nix von Windows ... und wieso scannst du mit einem Removal Tool ? ich würde den ganzen Virenscanner nehmen ...

Original geschrieben von Lokadamus
mmm...

??? Service.exe ist definitiv kein (http://www.liutilities.com/products/wintaskspro/processlibrary/service/) Windows- Dienst, mshost.exe wird bei Google nicht so oft gefunden (also unbekannt) und die altsvc.exe findet man bei Google momentan noch nichtmal eine ganze Seite voll -> definitiv nix von Windows ... und wieso scannst du mit einem Removal Tool ? ich würde den ganzen Virenscanner nehmen ...
antivir ist bei mir immer an mit autoupdate beim hochfahren ;) hab das removal genommen weil das schneller geht ..

hab auch grad nach den anderen gesucht, aber die sind alle ziemlich selten (bis auf sober natürlich). ich frag mich wie man an sowas kommt mit einem derart kleinen verbreitungsgrad.

mmm...

Wie man an die Dinger kommen kann ? das ist einfach, da nehmen die Leute immer Outlook und haben die Vorschau an, was bei HTML- Darstellung den IE im Hintergrund startet, dadurch hast du alle Fehler des IE's in Outlook und die werden ausgenutzt oder sie haben irgendwelche Schmuddelseiten angesurft ... wenn die Viren/ Würmer/ Trojaner erst vor 1 - 2 Tagen in die freie Wildbahn gelangt sind, kennt sie erstmal kein Virenscanner, weil die meisten Leute diese Problemfälle nicht lokalisieren können/ wollen und es darum nicht weiter an die Firmen für Virenscanner weiterleiten ...

Original geschrieben von Lokadamus
mmm...

Wie man an die Dinger kommen kann ? das ist einfach, da nehmen die Leute immer Outlook und haben die Vorschau an, was bei HTML- Darstellung den IE im Hintergrund startet, dadurch hast du alle Fehler des IE's in Outlook und die werden ausgenutzt oder sie haben irgendwelche Schmuddelseiten angesurft ... wenn die Viren/ Würmer/ Trojaner erst vor 1 - 2 Tagen in die freie Wildbahn gelangt sind, kennt sie erstmal kein Virenscanner, weil die meisten Leute diese Problemfälle nicht lokalisieren können/ wollen und es darum nicht weiter an die Firmen für Virenscanner weiterleiten ...
ja ne, is klar, ich mein wie kommt man an einen vitrowur der erst 1-2 tage itw ist .. das da jeder scanner ein problem hat ist nix neues ..

naja, ich muss ja nicht alles verstehen (trotz outlook virenfrei ;) )

mmm...

Wenn man entweder eine HP mit Email-Aresse hat oder in irgendwelchen Spamlisten gelandet ist, steigt die Chance als Opfer für neue Viren sehr stark an, genauso auch, wenn man mit dem IE auf Schmuddelseiten oder gehackte Seiten surft, wobei man nie weiss, ob eine Seite gehackt wurde oder nicht ... bei E_Mielke kann ich mir vorstellen, das eine alte Version vom Bitdefender installiert wurde, aber nicht aktualisiert wurde, wodurch Sober unbekannt war ...

ich nehm eigentlich thunderbird ,davor hab ich noch mailwasher geschaltet und als browser firefox
mein virenscanner is bitdefender,der macht täglich updates,habe vorher zig scanner ausprobiert,keiner konnt mir richtig helfen,
ich hab nun bereits das 2.mal format c hintermir,danach kam wie gesagt das obige logfile zu stande
die services.exe gibt er bei mir als anwendung für dienste und controller aus,die anderen 3 (altsvc,msthost und die grössere Lssas hab ich gelöscht und alles davon in der reg auch,hab dann systemwiederherst deaktiviert und neustart,rein optisch sind sie weg,aber ich frag mich ,wie die nach format c ins system kommen ? und bin ich wirklich clean ?
mein neuer log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\service.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdmcon.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\toools\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F9555A7-EF23-4DCE-9C45-965D1C40BD12}: NameServer = 217.237.151.33 194.25.2.129

mir ist grad bei mir was besonderes aufgefallen...

also ich hab letztensmails mit dem sober f wurm im anhang bekommen, per outlook, (antivir hat das ding sofort erwischt...)

ich bekomm jetzt immer nochn aufen dieser "sober-mail" - das komische ist nur: einige haben meine eigene email-adresse als absender?!

hb antivir durchlaufen lassen - nix gefunden - hab ich jetzt etwa auch diesen scheiss wurm oder was?

mmm...

Wie gesagt, es kommt manchmal nur auf einen einzigen Buchstaben drauf !

C:\WINDOWS\system32\services.exe <-- Windowsdienst !
C:\WINDOWS\system32\service.exe <-- da fehlt ein S am Ende, gehört nicht zu Windows ! siehe Link weiter oben von mir ... solltest wohl nochmal einen Virenscanner drüberlaufen lassen, irgendwas hast du immernoch ... dein Windows ist eine Original- Version, oder ? und du solltest die Systemwiederherstellung deaktivieren, ansonsten werden einige Schädlinge wieder von Windows hergestellt (bischen dumm, aber so ist Windows nunmal) ...

Edit: Eventuell hast du bei dir den Wurm Raleka (http://www.sophos.de/virusinfo/analyses/w32ralekab.html) ... wobei hier die Aussagen (http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=100574) bezüglich der Service.exe anders sind ... es kann aber noch ein anderer Trojaner mit Namen Troj/Digarix-B oder Wurm mit Namen W32/Chowl@MM sein ...

ShiShingu
Lass auch mal Hijackthis bei dir drüberlaufen, dann können wir weitersehen (zuerst scannen, dann verwandelt sich der Scan- Button zu einem Button zum Erstellen des Log's, dieses ignorieren und nochmal scannen, dann den Log posten) ... die Absender und Empfängeradressen sind bei den Würmern immer öfter gefälscht, wodurch man auch eine eigene Email bekommen kann ...

Original geschrieben von Lokadamus
ShiShingu
Lass auch mal Hijackthis bei dir drüberlaufen, dann können wir weitersehen (zuerst scannen, dann verwandelt sich der Scan- Button zu einem Button zum Erstellen des Log's, dieses ignorieren und nochmal scannen, dann den Log posten) ... die Absender und Empfängeradressen sind bei den Würmern immer öfter gefälscht, wodurch man auch eine eigene Email bekommen kann ...

so hab das proggi mal laufen lassen wie du gesagt hast... (was is das überhaupt genau fürn ding?)

hier die log:



Logfile of HijackThis v1.97.7
Scan saved at 13:38:50, on 23.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\oodag.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\ICQ\Icq.exe
D:\Programme\FireFox\firefox.exe
E:\DOWNLOADS\TOOLZ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - Startup: Ruhezeit-Aktivität vorziehen.bat
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38038.4278472222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E206D248-C2F1-49E5-A3DF-E932DD767CC0}: NameServer = xxx.xxx.x.x

mmm...

ShiShingun
Wenn du eine SahAgent.exe hättest, hättest du definitiv Spyware drauf (diese MyBar.dll ist merkwürdig), Ad-Aware oder Spybot inklusive Onlineupdate hast du schon drüberlaufen gelassen ?

@lokadmus antivir hat nix gefunden...hab die service.exe auch gekillt + regeintrg
aber das rätsel bleibt,wie der kram nach frischinst von windows ins system kommt

trotzdem danke ich dir schonmal sehr

noch in log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdmcon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\toools\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F9555A7-EF23-4DCE-9C45-965D1C40BD12}: NameServer = 217.237.151.33 194.25.2.129

mmm...

Jetzt sieht dein System sauber aus :) ... woher die service.exe gekommen ist, wüsste ich so auch nicht, entweder per Email, hat sich selber eingeladen (wie Blaster, wenn du DSL hast, unbedingt die Sicherheitspatches installieren) oder ist schon bei der Installation dabeigewesen (dann hättest du kein Original) ... scheint so, als ob sowohl Bitdefender als auch Antivir das Teil noch nicht kennen :( ...

puuuh schonmal gut

kann es maybe sein das die teile vielleicht auf ner anderen partition liegen ? und an vermutlich sauberer software angeklemmt sind und ich sie daher ,immer selbs installier ?

mmm...

Sober kommt eigentlich nur über Email, wenn du dein System vorher formatiert hast, dürfte sowas eigentlich nicht dabei sein (naja, besser wäre es dann schon, die Kiste kurz auszumachen).
Bei den anderen Sachen müsste man wissen, woher sie eigentlich kommen. Theoretisch wäre es möglich, dass du sie bei irgendwelchen anderen Sachen dauernd mitinstallierst (hab keine Ahnung, welche Tools/ Shareware/ Freeware du immer installierst) ...

Original geschrieben von Lokadamus
mmm...

ShiShingun
Wenn du eine SahAgent.exe hättest, hättest du definitiv Spyware drauf (diese MyBar.dll ist merkwürdig), Ad-Aware oder Spybot inklusive Onlineupdate hast du schon drüberlaufen gelassen ?

jopp hab ad aware und spybot drüberlaufen lassen mit neustem stand - nix gefunden...

mmm...

Hast du eine Ahnung, woher du diese Mybar.dll bekommen hast ? ansonsten würde ich sie einfach mal komplett verschieben und die Systemwiederherstellung deaktivieren. Beim Start wird dann zwar rumgemeckert, das etwas nicht gestartet werden konnte, aber dann solltest du selber sehen, ob dir irgendwas beim Start fehlt => wenn nein, ein paar Tage warten und das Teil dann aus der Registry werfen ... sollte dir doch etwas fehlen, einfach wieder zurückschieben ... ansonsten müssen wir mal den Systemstart (msconfig) durchgehen und schauen, ob dort irgendwas komisches ist ...

lsass.exe darf einmal vorhanden sein?
Für was ist nochmal die ctfmon.exe ?

Nach dem ich den Natchi Wurm drauf hatte und das Removal Tool drauf hatte und die Windows Patches hab ich jetzt 4mal svchost.exe

LOKALER DIENST
NETZWERKDIENST
SYSTEM
SYSTEM

Da ist was faul.
Antivir findet nüx

4 mal is ok

Original geschrieben von E_Mielke
4 mal is ok

nee, vorher hatte ich 1 oder maximal 2 svchost.exe

Kann ja nicht sein, das es die 2 mal im System gibt...

Original geschrieben von Lokadamus
mmm...

Hast du eine Ahnung, woher du diese Mybar.dll bekommen hast ? ansonsten würde ich sie einfach mal komplett verschieben und die Systemwiederherstellung deaktivieren. Beim Start wird dann zwar rumgemeckert, das etwas nicht gestartet werden konnte, aber dann solltest du selber sehen, ob dir irgendwas beim Start fehlt => wenn nein, ein paar Tage warten und das Teil dann aus der Registry werfen ... sollte dir doch etwas fehlen, einfach wieder zurückschieben ... ansonsten müssen wir mal den Systemstart (msconfig) durchgehen und schauen, ob dort irgendwas komisches ist ...

ka woher die ist, war aufeinmal in IE installiert...

wenn ich das verzeichnis löschen will - meckert der dass die datei in vewendung sei (die DLL)

Original geschrieben von Morbid Angel
nee, vorher hatte ich 1 oder maximal 2 svchost.exe

Kann ja nicht sein, das es die 2 mal im System gibt...
Das ist normal.
Bei mir steht sie 5x drinn.

-------------------------------------------------------------
Im Taskmanager kann bei Windows 2000 und XP die Datei SVCHOST.EXE, stellenweise mehrfach, festgestellt werden.

Der Taskmanager leistet generell gute Dienste, ist aber bei Prozessen wie SVCHOST.EXE wenig informativ.
-------------------------------------------------------------
http://www.wintotal.de/Tipps/Eintrag.php?RBID=3&TID=777&URBID=14

Original geschrieben von Anonym_001
Das ist normal.
Bei mir steht sie 5x drinn.

-------------------------------------------------------------
Im Taskmanager kann bei Windows 2000 und XP die Datei SVCHOST.EXE, stellenweise mehrfach, festgestellt werden.

Der Taskmanager leistet generell gute Dienste, ist aber bei Prozessen wie SVCHOST.EXE wenig informativ.
-------------------------------------------------------------
http://www.wintotal.de/Tipps/Eintrag.php?RBID=3&TID=777&URBID=14

Ok danke für die Info!

Und was bringt nochmal die ctfmon.exe?

Original geschrieben von Morbid Angel
Ok danke für die Info!

Und was bringt nochmal die ctfmon.exe?
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q282599

Original geschrieben von Lokadamus
Kurgan und barracuda
Ihr scheint sehr saubere System zu haben ;D ... vorsichtig bei den meisten Sachen, sie unterscheiden sich im Namen meistens nur um einen einzigen Buchstaben ...
Meine Systeme sind definitiv sauber, ich hatte noch nie Probleme mit irgendwelchen Schadprogrammen. Tja, so isses.

mmm...

MorbidAngel
C:\WINDOWS\system32\lsass.exe <--- Windowsdienst (Lokale Sicherheitsrichtlinien irgendwas)
C:\WINDOWS\system32\lssas.exe <--- Sober !!!
Sie sind leicht zu verwechseln, sowas ist aber Absicht ...lsass.exe sollte nur einmal laufen.

Anonym_001
5x ? Wie hast den das hinbekommen ?

barracuda
Mir ging es mit dem Satz da oben eher darum, das 3 Sachen in dem System waren, die nicht normal sind (und eine 4. Sache erwähnt wurde), ihr beide aber gesagt habt, es sei alles in Ordnung ...

ShiShingu
Was immer diese Mybar.dll ist, sie ist aufjedenfall aktiv, aber ich hab keine Ahnung, wozu sie gehört :( ... must mal deinen Systemstart posten, dann können wir das Teil finden ...

Ich weiss -> meine heisst lsass.exe

Und was war nochmal csrss.exe und smss.exe?
Am besten wäre ne kurze Beschreibung, also keine 2 Seiten.

mmm...

Die smss.exe ist der Sitzungsmanager. (Session Manager Subsystem)
Dieser steht als erstes Subsystem da, und startet die darüberliegenden Subsysteme und Dienste.

Die csrss.exe gehört eindeutig zu Windows. Sie ist ein so genanntes Sub System. Aber Achtung:
Der Wurm “W32.NIMDA.E@mm” kopiert sich als csrss.exe in Form einer Variablen in die entsprechende Datei!.
Liegt sie in einem anderen Verzeichnis als System32, kann sie auch zu einem Wurm (Melare.a) gehören ...

Beides von dieser Seite (http://frankn.com/html/task_manager_hilfe.html) ... finde die englische Variante (http://www.liutilities.com/products/wintaskspro/processlibrary/csrss/) aber besser, hab nur noch nicht herausgefunden, wie man dort direkt suchen kann ...

und logonui.exe ? die war vorher glaub nich im task..jezz aber ...? is die ok ?

mmm...

In welchem Verzeichnis liegt sie ? wenn sie im System32 unter Windows liegt, wäre es für den Bootscreen und für den Login wichtig, wenn sie woanders herkommt, dann hast du einen Wurm (http://www.sophos.com/virusinfo/analyses/w32nrga.html) gefunden ... bei mir kann ich diese Datei nicht aktiv im Taskmanager sehen, wenn sie bei dir aktiv ist, dann sollen andere mal nachschauen, ob sie die Logonui.exe bei sich aktiv im Task Manager sehen können und angeben, welches Windows sie haben (mein Windows ist Win XP Home mit SP 1 und allen Updates)...

Edit: von Sophos gibt es auch eine 30 Tage Evaluate (http://www.sophos.com/products/sav/eval/) Version, muss man aber eine gültige Email für angeben und einige andere Angaben machen ...

jo is im System32..aber war einmal kurz im task..hab sie da geschlossen,seid dem nimmer..hab xp prof...ob ich noch die beta von sp2 installier ?

mmm...

Gut, die Logonui.exe gehört irgendwie zur Darstellung bei der Anmeldung, wenn sie jetzt nicht mehr weiter auftaucht (ausser vielleicht kurz nach der Anmeldung), sollte dein System erstmal sauber sein. Ob du das SP 2 zur Zeit wirklich brauchst, weiss ich nicht. Einige haben es sich schon runtergeladen, dazu gibt es auch Threads, must du selber mal schauen ...

Mybar.dll gehört zu einem Browser Hijacker
http://www.google.com/search?q=mybar.dll
http://www.winpatrol.com/db/freesample/mybar.html

Bei den hier ersichtlichen Logfiles kommt mir irgendwie der Verdacht das die nicht ganz vollständig sind insbesondere die von E_Mielke wo knapp die Hälfte zu fehlen scheint ......

mmm...

Das Problem ist, das man 2x mit Hijackthis scannen muss, um eine grosse Liste zu erhalten ...

Original geschrieben von Lokadamus
Anonym_001
5x ? Wie hast den das hinbekommen ?

Frag mich mal was leichteres. ;)
Da ich nur XP Home habe kann ich auch nicht einfach nachschauen was das alles ist.
Aber so weit ich mich erinnere war es von Anfang an so.

@lokadamus

wenn ich netstat -a mache kommt folgendes,obwohl eins mit skype zum kumpel sein muss..is da was komiches drin ?

C:\Dokumente und Einstellungen\e_mielke>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP mielke:http mielke:0 ABHÖREN
TCP mielke:epmap mielke:0 ABHÖREN
TCP mielke:https mielke:0 ABHÖREN
TCP mielke:microsoft-ds mielke:0 ABHÖREN
TCP mielke:1025 mielke:0 ABHÖREN
TCP mielke:3004 mielke:0 ABHÖREN
TCP mielke:3006 mielke:0 ABHÖREN
TCP mielke:3007 mielke:0 ABHÖREN
TCP mielke:4077 mielke:0 ABHÖREN
TCP mielke:10110 mielke:0 ABHÖREN
TCP mielke:30930 mielke:0 ABHÖREN
TCP mielke:netbios-ssn mielke:0 ABHÖREN
TCP mielke:3004 d206-116-204-180.bchsia.telus.net:12968 HERGEST
ELLT
TCP mielke:3006 80.160.91.13:http SCHLIESSEN_WARTEN
TCP mielke:3007 dialin-212-144-012-003.arcor-ip.net:33478 HERGE
STELLT
TCP mielke:3001 mielke:0 ABHÖREN
TCP mielke:3002 mielke:0 ABHÖREN
TCP mielke:3003 mielke:0 ABHÖREN
TCP mielke:netbios-ssn mielke:0 ABHÖREN
UDP mielke:microsoft-ds *:*
UDP mielke:isakmp *:*
UDP mielke:3005 *:*
UDP mielke:30930 *:*
UDP mielke:ntp *:*
UDP mielke:netbios-ns *:*
UDP mielke:netbios-dgm *:*
UDP mielke:ntp *:*
UDP mielke:ntp *:*
UDP mielke:netbios-ns *:*
UDP mielke:netbios-dgm *:*

C:\Dokumente und Einstellungen\e_mielke>

mmm...

E_Mielke
Das, was du dir dabei noch anzeigen lässt, sind die Windows- Dienste, sie enden alle auf Port 0. Rapmaster kann dazu wohl mehr sagen, als ich. Interessant sind bei dir damit nur noch diese Sachen:

TCP mielke:3004 d206-116-204-180.bchsia.telus.net:12968 HERGESTELLT <--- Verbindung über Port 12968, hab spontan keine Idee, was das ist ...
TCP mielke:3006 80.160.91.13:http SCHLIESSEN_WARTEN <--- http/ Webseite von Joltid besucht ???
TCP mielke:3007 dialin-212-144-012-003.arcor-ip.net:33478 HERGESTELLT <--- Verbindung über Port 33478, bei jemanden, der sich wahrscheinlich über Arcor einwählt, spontan keine Idee, was das ist

Ein Programm mit Namen Skype kenne ich nicht direkt, müsstes du mal schauen, über welche Ports es normalerweise läuft ... mit "netstat -n" bekommst du die IP anstelle des langen Textes (sprich, dialin-212-144-012-003.arcor-ip.net wird als 82.83.XXX.XXX dargestellt). Hierbei kannst du auch wieder den Befehle netstat um a erweitern: "netstat -an" ...

Anonym_001
Du verwirst mich, würde fast vorschlagen, du lässt mal hijackthis laufen und postest mal den Log, glaube zwar nicht, das ich da was finden werden, aber schauen können wir mal ...

war skype nicht so ein voip-programm?

jepp skype is ein super voiceprogram, und eine verb war zu meinem kumpel,das war ok.....
aber wer is rapmaster ?

mmm...

Rapmaster hat sich vor einiger Zeit in Killermaster umbennen lassen, keine Ahnung, warum er das getan hat ...

Original geschrieben von Lokadamus
Anonym_001
Du verwirst mich, würde fast vorschlagen, du lässt mal hijackthis laufen und postest mal den Log, glaube zwar nicht, das ich da was finden werden, aber schauen können wir mal ...
Ich schätze mal das du nicht viel finden wirst.


Logfile of HijackThis v1.97.7
Scan saved at 13:55:42, on 26.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.3dcenter.org/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37905.4248611111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

mmm...

Öh ... naja, das hier
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3 .com/binaries/IA/ia_XP.cab
wird bei mir von Antivir als Trojaner gemeldet, wenn ich es runterlade und entpacken will ... was hast den da gesucht (wurdest wohl mal hingelenkt von irgendwas) ??? aber an aktiven Processen kann ich keinen ungewöhnlichen sehen, ausser es versteckt sich etwas bei McAfee, da hab ich nicht weiter nachgeguckt, ob da was falsches bei ist ...

Hier mal der Durchlauf auf meinem Rechner. Die svchost.exe habe ich auch 5mal im Task-Manager stehen (3* System, 1* Netzwerkdienst, 1* lokaler Dienst).


StartupList report, 26.04.2004, 16:53:52
StartupList version: 1.52
Started from : C:\test\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\cmd.exe
C:\test\HijackThis.exe
C:\Programme\ConTEXT\ConTEXT.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

T-DSL SpeedMgr = "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
ADR = D:\Internet\Advanced Direct Remailer\adr.exe
adiras = adiras.exe
IMJPMIG8.1 = C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
IMEKRMIG6.1 = C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
MSPY2002 = C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
PHIME2002ASync = C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A = C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Download Program Files:

[OSInfo Control]
InProcServer32 = C:\WINDOWS\OSInfo.ocx
CODEBASE = http://www.sis.com/support/chipdetect/OSInfo.cab

[SiS_OCX Control]
InProcServer32 = C:\WINDOWS\SIS_OCX.ocx
CODEBASE = http://www.sis.com/support/chipdetect/SiSAutodetectnt.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37875.0834490741

[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

[{CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA}]

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [ADR] D:\Internet\Advanced Direct Remailer\adr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run WinHTTrack (HKLM)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack (HKLM)
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectnt.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37875.0834490741
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07B0F7A1-0B73-4EAD-8358-04225A33CE19}: NameServer = 217.5.99.105 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{07B0F7A1-0B73-4EAD-8358-04225A33CE19}: NameServer = 217.5.99.105 194.25.2.129



Sollte aber nichts bedenkliches dabei sein, soweit ich das auf die schnelle überblicken konnte.

Aqua

Edit: Hab noch die Liste mit Rx und Oy vom Startscan hinzugefügt.

Original geschrieben von Lokadamus
mmm...

Öh ... naja, das hier
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3 .com/binaries/IA/ia_XP.cab
wird bei mir von Antivir als Trojaner gemeldet, wenn ich es runterlade und entpacken will ... was hast den da gesucht (wurdest wohl mal hingelenkt von irgendwas) ??? aber an aktiven Processen kann ich keinen ungewöhnlichen sehen, ausser es versteckt sich etwas bei McAfee, da hab ich nicht weiter nachgeguckt, ob da was falsches bei ist ...
Habe die .cab auch nochmal runtergeladen und nachgesehen.
Die installierte Ia.dll ist/war bei mir 10kb groß.
Die Datei im Archiv ist ein Dialer und 8,5kb groß.
Die installierte Version wurde auch von keinem Programm (VS, Spybot und Ad-aware) als Dialer erkannt.
Egal, habe die Datei und den Eintrag aus der Registry entfernt.

mmm...

Aqua
Konnte bei dir auch nix ungewöhnliches finden ... musste erstmal Google quälen, um herauszufinden, was du alles am laufen hast ;) ...

Anonym_001
Hab so keine Idee, wofür die ia.dll sein soll, Google wirft dazu auf den ersten paar Seiten nur Info's zu Trojanern raus ... bei mir (Win XP Home) gibt es diese DLL nicht, dürfte wohl nicht stören, wenn sie weg ist ...

Original geschrieben von Lokadamus
Anonym_001
Hab so keine Idee, wofür die ia.dll sein soll, Google wirft dazu auf den ersten paar Seiten nur Info's zu Trojanern raus ... bei mir (Win XP Home) gibt es diese DLL nicht, dürfte wohl nicht stören, wenn sie weg ist ...
:ratlos:
Keine Ahnung für was die gut war.
Aber das loswerden war ja kein Problem.
Start -> Ausführen -> regsvr32 /u Ia.dll
Den Rest mit RegCleaner entsorgt.
Und die Ia.dll gelöscht, fertig.

Original geschrieben von Lokadamus
ShiShingu
Was immer diese Mybar.dll ist, sie ist aufjedenfall aktiv, aber ich hab keine Ahnung, wozu sie gehört :( ... must mal deinen Systemstart posten, dann können wir das Teil finden ...

wie soll ich dir denn meinen systemstart posten?

also diese Mybar.dll liegt immer noch auf meiner windows-partition und lässt sich auch nicht löschen...:(

mmm...

Laut Winpatrol (http://www.winpatrol.com/db/freesample/mybar.html) hast du unter Systemsteuerung -> Software ein Programm mit dem Namen "My Way Speed Bar", das deinstallieren und du bist die mybar.dll los. MyWay gehört zu den Sachen, die von einem anderen Programm installiert werden, vielleicht von einem Downloadmanager mit Werbefenster oder eine andere Shareware ...

Original geschrieben von Lokadamus
mmm...

Laut Winpatrol (http://www.winpatrol.com/db/freesample/mybar.html) hast du unter Systemsteuerung -> Software ein Programm mit dem Namen "My Way Speed Bar", das deinstallieren und du bist die mybar.dll los. MyWay gehört zu den Sachen, die von einem anderen Programm installiert werden, vielleicht von einem Downloadmanager mit Werbefenster oder eine andere Shareware ...

thx - jetzt is sie weg