Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Verdacht auf Virus
Holger
Beitrag 20.03.2004, 11:50
Beitrag #1



Ist neu hier


Gruppe: Mitglieder
Beiträge: 2
Mitglied seit: 20.03.2004
Mitglieds-Nr.: 503
Hallo Leute,
ein Bekannter bat mich, "mal seinen PC zu reparieren". Symptome: Beim booten etwa 4 min lang der Anfahr-Bildschirm (für Setup F1 drücken) bevor dann Win XP endlich gestartet wird, eine Unmenge laufender Prozesse, ein de-installiertes Norton Systemworks, das sich nicht mehr installieren läßt (hängt sich bei der Initialisierung auf), Fehlermeldungen (nicht auffindbare .dll-Datei) von einer Rundll32.exe, die nur über den Task-Manager beendet werden kann, nicht mögliche System-Rücksetzung, weder über GoBack, noch über die Systemwiederherstellung. Das totale Chaos. Evtl. ein Virus? Ich habe mal Hijackthis rüberlaufen lassen und hoffe, daß Ihr mir helfen könnt:

ogfile of HijackThis v1.97.7
Scan saved at 21:46:57, on 19.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\avmclient\bluefritz!.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\WINDOWS\System32\SahAgent.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Window Active\winactive.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOKUME~1\vt\LOKALE~1\Temp\msbb.exe
C:\Programme\Bargain Buddy\bin\bargains.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\PROGRA~1\draw dupe\oozeclosegreat.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
F:\MSSHLIB\setup.exe
C:\Dokumente und Einstellungen\vt\Desktop\HijackThis.exe
C:\Dokumente und Einstellungen\vt\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordclick.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem217.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {BBDE4A39-7485-0B71-B8B3-6D342CC915B8} - C:\PROGRA~1\ACIDSO~1\browse phone.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin\apuc.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [winactive] C:\Programme\Window Active\winactive.exe
O4 - HKLM\..\Run: [msbb] C:\DOKUME~1\vt\LOKALE~1\Temp\msbb.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
O4 - HKLM\..\Run: [MWEOJUB] C:\WINDOWS\MWEOJUB.exe
O4 - HKLM\..\Run: [GQISDN] C:\WINDOWS\GQISDN.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [magsdead] C:\PROGRA~1\draw dupe\oozeclosegreat.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\AddressBar\createnote.htm
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\AddressBar\createbookmark.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\AddressBar\emaillink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\AddressBar\navigate.htm
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O11 - Options group: [CommonName] CommonName
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.negativebeats.com/mp3.plugin.exe
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{6245A22E-E6A4-447B-A7FF-501000F8D1C1}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{6245A22E-E6A4-447B-A7FF-501000F8D1C1}: NameServer = 192.168.120.252,192.168.120.253

Ich hoffe, daß jemand der mehr Ahnung hat als ich hier was sehen kann ...
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Holger
Beitrag 20.03.2004, 14:31
Beitrag #2



Ist neu hier


Gruppe: Mitglieder
Beiträge: 2
Mitglied seit: 20.03.2004
Mitglieds-Nr.: 503
Wow, das nenne ich prompte Hilfe - sehr angenehm! Da es sich wirklich um den PC eines BEkannten handelt, werde ich erst in der kommenden Woche dazu kommen, die Ratschläge zu beachten. Aber an dieser Stelle schon einmal recht herzlichen Dank!
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- Holger   Verdacht auf Virus   20.03.2004, 11:50
- - Remover   Da ist schon mal eine ganze Menge Spyware und Adwa...   20.03.2004, 12:04
- - raman   Wenn du das alles durch hast u d auch die anderen ...   20.03.2004, 12:11
- - Holger   Wow, das nenne ich prompte Hilfe - sehr angenehm...   20.03.2004, 14:31

« Vorhergehendes Thema · Trojaner, Viren und Würmer · Folgendes Thema »
 

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 05.04.2026, 17:03
Powered By IP.Board © 2026  IPS, Inc.
Licensed to: Rokop Security
Impressum