Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Logfile sauber?
Gast_Franka_*
Beitrag 27.06.2004, 21:07
Beitrag #1






Gäste






Hallo,

ich bitte um Hilfe. Weiß nicht, ob hier noch schädliche Dateien vorhanden sind. Habe jetzt die erste Hilfe voll durch und alle möglichen Scans durchlaufen lassen.

Vielen Dank,
Franka



Logfile of HijackThis v1.97.7
Scan saved at 21:53:27, on 27.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\WPROVAUN.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WhenUSearch\Search.exe
c:\dokumente und einstellungen\franka & sascha\lokale einstellungen\temp\fsg_tmp\ginst_001_1234_4201.exe
C:\Dokumente und Einstellungen\Franka & Sascha\Eigene Dateien\Franka\Netzwerk-Lohr\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator6\CheckNewUser.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [wmplayer] C:\Programme\Windows Media Player\wmplayer.exe -invisible
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\Run: [WPROVAUN] C:\WINDOWS\System32\WPROVAUN.exe
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6717349-5432-4949-8FFA-37E7351454C8}: NameServer = 62.104.191.241 62.104.196.134
Go to the top of the page
 
+Quote Post
Yopie
Beitrag 27.06.2004, 21:24
Beitrag #2



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



Jo, so ganz sauber ist die Kiste noch nicht.

Diesen Prozess beenden
C:\WINDOWS\System32\WPROVAUN.exe

Folgendes ist Adware und kann lt. Google über die Systemsteuerung deinstalliert werden:
C:\Programme\WhenUSearch\Search.exe

Kenn ich auch nicht, kommt mir seltsam vor:
c:\dokumente und einstellungen\franka & sascha\lokale einstellungen\temp\fsg_tmp\ginst_001_1234_4201.exe (evtl. mal unter http://www.kaspersky.com/de/scanforvirus scannen)

Folgendes mit Hicjackthis fixen (Haken davor und dann "Fix checked"):
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O4 - HKLM\..\Run: [WPROVAUN] C:\WINDOWS\System32\WPROVAUN.exe
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe

Anschließend mit einem aktuellen Virenscanner (Antivir-PE?) scannen.

Wenn alles sauber ist:
<gebetsmühle>
Um in Zukunft so einen Ärger zu vermeiden solltest Du den Browser wechseln. der IE ist auch mit allen Patches noch unsicher und eigentlich nur für http://www.windowsupdate.com zu benutzen.

Die sicheren und besseren Alternativen sind Mozilla, Firefox und Opera.
</gebetsmühle>


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Gast_Franka_*
Beitrag 30.06.2004, 18:03
Beitrag #3


Threadersteller




Gäste






Vielen lieben Dank für die schnelle Hilfe! Habe sie eben erst entdeckt und werde es gleich ausprobieren.
Grüße
Franka
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 07:04
Impressum