Archiv verlassen und diese Seite im Standarddesign anzeigen : PC verseucht --> ANTISPYLAB
Moin,
also, heute hat sich bei mir (auf einem völlig unbekannten Wege, bei mir ist SP2 installiert und ich habe keine Anhänge von Spam geöffnet) irgendein Müll eingenistet, der den Ausdruck u.a. in den Dateien winsrv32.exe, runsrv32.exe, param.red.exe, taskdir.dll u.v.m. findet und "YOUR COMPUTER IS INFECTED WITH A TROJAN!!!!!", "CREDIT CARD CAPTURE SOFTWARE DETECTED!!!!" als Balloon-Tips anzeigt.
F-Prot hat alle diese Dateien gefunden und ausradiert, was aber seitdem geblieben ist und was ich einfach nicht loswerden kann, ist, dass nun bei jedem Neustart oder bei jedem Start von IE der Wert "Start Page" von dem Schlüssel HKCU/Software/Microsoft Internet Explorer/Main/ nach "about:blank" ändert. Was dann als Startseite angezeigt wird, ist so eine abgef**te Adware-Seite, die u.a. die Links auf http://antispylab.com enthält. Ebenfalls sind der Taskmanager sowie die Internetoptionen nicht zu gebrauchen
Jubba
2006-05-03, 21:50:36
Lad dir mal hijackthis (http://download.hijackthis.eu/hijackthis_199.zip) und lass mal durchlaufen&das ergebnis copyste dann darein->http://hijackthis.de/de..
Oder mal adaware,spybot s&d..
sei laut
2006-05-03, 22:01:07
Und sollte es wiederkommen, Systemwiederherstellung kurzzeitig ausschalten. Sowas wird öfters vergessen und dann ärgert sich so manch einer.
Systemwiederherstellung kurzzeitig ausschalten geht nicht. Wird wohl vom Virus blockiert!!!!
Logfile of HijackThis v1.99.1
Scan saved at 22:04:36, on 03.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
E:\Programme\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\System32\GEARSec.exe
E:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
E:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
E:\Programme\Analog Devices\SoundMAX\Smax4.exe
E:\Programme\DAEMON Tools\daemon.exe
E:\Programme\Alwil Software\Avast4\ashMaiSv.exe
E:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Alwil Software\Avast4\ashWebSv.exe
E:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
E:\WINDOWS\system32\winsrv32.exe
E:\Programme\Alwil Software\Avast4\ashSimpl.exe
E:\Programme\Pinnacle\PCTV Stereo\Vision\Vision.exe
E:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\WinRAR\WinRAR.exe
E:\DOKUME~1\Reto\LOKALE~1\Temp\Rar$EX00.594\HijackThis.exe
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BJCFD] E:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SoundMAXPnP] E:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "E:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [DAEMON Tools] "E:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PSDrvCheck] E:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] E:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] E:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "E:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "E:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [Adware.Srv32] E:\WINDOWS\system32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] E:\WINDOWS\system32\susp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: hp psc 2000 Series.lnk = E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = E:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: GEARSecurity - GEAR Software - E:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Programme\Analog Devices\SoundMAX\SMAgent.exe
mofhou
2006-05-03, 23:00:10
E:\WINDOWS\system32\winsrv32.exe
Der Eintrag ist böse.
Für mehr Informationen:
http://www.hijackthis.de/de
Denniss
2006-05-04, 01:41:10
Hijack-This IMMER in ein eigenes Verzeichnis kopieren/entpacken und von dort aus starten. Nur so kann die Backup-Funktion genutzt werden.
Alle O2 mit no name und no file weg
O4 - HKLM\..\Run: [Transponder] E:\WINDOWS\system32\susp.exe
http://www.google.de/search?hl=de&q=susp.exe&btnG=Suche&meta=
Den schon genannten Prozess per Taskmanager killen und dann löschen/entfernen.
http://www.google.de/search?hl=de&q=winsrv32.exe&btnG=Suche&meta=
taskmanager kann nicht mehr gebraucht werden
vBulletin®, Copyright ©2000-2025, Jelsoft Enterprises Ltd.