[Bossi100]

Ich habe das gleiche Problem schon wieder mit meinem Laufzeitfehler 53

Hier mein Ergebnis vom HijackThis !



Logfile of HijackThis v1.97.7
Scan saved at 21:12:39, on 07.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\wfxsnt40.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
D:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [list] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\list.exe
O4 - HKLM\..\Run: [shell] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\shell.exe
O4 - HKLM\..\Run: [help] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\help.exe
O4 - HKLM\..\Run: [open] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\open.exe
O4 - HKLM\..\Run: [storage] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\storage.exe
O4 - HKLM\..\Run: [stor] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\stor.exe
O4 - HKLM\..\Run: [components] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\components.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: SchnapperPlus (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.co...wnload/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8117.5810185185
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/ac...ta/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/ac.../ActiveData.cab


PS: Vielen Dank schonmal für Eure Hilfe

[Rika]

Zitat

O4 - HKLM\..\Run: [list] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\list.exe
O4 - HKLM\..\Run: [shell] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\shell.exe
O4 - HKLM\..\Run: [help] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\help.exe
O4 - HKLM\..\Run: [open] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\open.exe
O4 - HKLM\..\Run: [storage] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\storage.exe
O4 - HKLM\..\Run: [stor] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\stor.exe
O4 - HKLM\..\Run: [components] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\components.exe

Jo, du hast dir auch schon wieder diese Malware eingefangen...
Irgendwie hast du das mit der sauberen Neuinstallation wohl nicht recht verstanden - betrachte _ALLES_ als komprimitterit, d.h. auch deine Setupprogramme, Programme in Archiven, gebrannte CDs etc.

[Bossi100]

Danke Rika !

Hat alles geklappt !!

Aber was ich nicht verstehe ist das was Du mit der SAUBEREN NEUINSTALLATION MEINST ?

Danke schonmal im voraus für Deine Antwort & schönen Sonntag noch !

[wiz]

Komplettformatierung und absolut von 0 anfangen. Was heißt, alle Binaries löschen, alle Archive löschen. Sollte es ein Makrovirus sein, alle Dokumente löschen.

Ach was: am besten alles runter

[born2flame]

Zitat (Bossi100: 11.07.2004, 17:53)

Aber was ich nicht verstehe ist das was Du mit der SAUBEREN  NEUINSTALLATION MEINST ?

Ich denke er meint das du dir den Müll ja irgendwo eingefangen haben musst und wenn du ein System neu aufspielst darf so etwas nicht passieren, also prüf was du gemacht hast und vorallem womit du es gemacht hast.

DU musst den Grund finden warum das so ist, dann kannst du dem Problem in Zukunft vorbeugen.

[Philipp]

http://www.hijackthis.de/logfiles/0dbe40d3...b20be05cb3.html

[drbest]

hi leute ich habe beim starten den Lauf..fehler 53 hatt mal 51 jetzt formatiert usw

habe .CPU:2.61 GHZ
Plattform.WInows XP Profesional
Meldung Art
(Gut, Böse, Unbekannt) Beschreibung Empfehlung
Logfile of HijackThis v1.97.7
Eventuell veraltet Zeigt die Version von HijackThis an. Neuste Version: v1.98.0! Ihre Version (v1.97.7 ) ist veraltet. Besuchen Sie die Herstellerseite um sich die neue Version herunter zu laden.
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Gut Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2800.1106! Ihre Version sollte aktuell sein. (6.00.2800.1106)
C:\WINDOWS\System32\smss.exe
Gut Laufender Prozess. (smss.exe)
Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und löschen.
C:\WINDOWS\system32\winlogon.exe
Gut Laufender Prozess. (winlogon.exe)
Systemprozess - Windows Login Routine
C:\WINDOWS\system32\services.exe
Gut Laufender Prozess. (services.exe)
Systemprozess - Verwaltet die Systemdienste.
C:\WINDOWS\system32\lsass.exe
Gut Laufender Prozess. (lsass.exe)
Systemprozess durch den der Wurm Sasser gekommen ist.
C:\WINDOWS\system32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\WINDOWS\System32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
Gut Laufender Prozess. (ccSetMgr.exe)

C:\WINDOWS\Explorer.EXE
Gut Laufender Prozess. (Explorer.EXE)
Systemprozess für Desktop und Taskleiste.
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
Gut Laufender Prozess. (ccEvtMgr.exe)

C:\WINDOWS\system32\spoolsv.exe
Gut Laufender Prozess. (spoolsv.exe)
Systemprozess
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
Gut Laufender Prozess. (ccApp.exe)

C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
Gut Laufender Prozess. (evntsvc.exe)
Nicht gefährlich aber unnötig.
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
Gut Laufender Prozess. (E_S10IC2.EXE)

C:\WINDOWS\System32\wfxsnt40.exe
Unbekannt Laufender Prozess. (wfxsnt40.exe)
Dies ist ein unbekannter Prozess.
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
Gut Laufender Prozess. (jusched.exe)

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
Gut Laufender Prozess. (ccProxy.exe)

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
Gut Laufender Prozess. (SAgent2.exe)

C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
Gut Laufender Prozess. (navapsvc.exe)

C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
Gut Laufender Prozess. (NPROTECT.EXE)
Norton Software
C:\WINDOWS\System32\nvsvc32.exe
Gut Laufender Prozess. (nvsvc32.exe)
Nicht gefährlich aber unnötig.
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
Gut Laufender Prozess. (SAVScan.exe)
Prozess von Norton Antivirus.
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
Gut Laufender Prozess. (NOPDB.EXE)

C:\WINDOWS\System32\svchost.exe
Gut Laufender Prozess. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\WINDOWS\System32\WFXSVC.EXE
Unbekannt Laufender Prozess. (WFXSVC.EXE)
Dies ist ein unbekannter Prozess.
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
Unbekannt Laufender Prozess. (WFXMOD32.EXE)
Dies ist ein unbekannter Prozess.
D:\Download\HijackThis.exe
Gut Laufender Prozess. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
Gut Diese Seite wurde als Gut identifiziert!
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft.
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\S
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([9ECB9560-04F9-4bbc-943D-298DDF1699E1] - Treffer: 9ECB9560-04F9-4bbc-943D-298DDF1699E1) wurde überprüft.
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Nort
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([BDF3E430-B101-42AD-A544-FADC6B084872] - Treffer: BDF3E430-B101-42AD-A544-FADC6B084872) wurde überprüft.
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([8E718888-423F-11D2-876E-00A0C9082467] - Treffer: 8E718888-423F-11D2-876E-00A0C9082467) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen.
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Datei
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7] - Treffer: 0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen.
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton System
Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6] - Treffer: 42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen.
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Gut Zum eingegebenen Programm NvCplDaemon haben wir folgendes Programm gefunden: NvCplorNvCplDaemon. (Resultate)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Gut Zum eingegebenen Programm nwiz haben wir folgendes Programm gefunden: nwiz. (Resultate)
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
Gut Zum eingegebenen Programm NvMediaCenter haben wir folgendes Programm gefunden: NvMediaCenter. (Resultate)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
Gut Zum eingegebenen Programm ccApp haben wir folgendes Programm gefunden: ccApp. (Resultate)
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
Gut Zum eingegebenen Programm TkBellExe haben wir folgendes Programm gefunden: evntsvc. (Resultate) Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
Gut Zum eingegebenen Programm EPSON Stylus C44 Series haben wir folgendes Programm gefunden: Epson Stylus C62 Series. (Resultate)
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
Gut Zum eingegebenen Programm WinFaxAppPortStarter haben wir folgendes Programm gefunden: WinFaxAppPortStarter. (Resultate)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Gut Zum eingegebenen Programm KernelFaultCheck haben wir folgendes Programm gefunden: KernelFaultCheck. (Resultate) Nicht gefährlich aber unnötig.
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
Gut Zum eingegebenen Programm SunJavaUpdateSched haben wir folgendes Programm gefunden: SunJavaUpdateSched. (Resultate)
O4 - HKLM\..\Run: [list] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\list.exe
Unbekannt Zum eingegebenen Programm list haben wir folgendes Programm gefunden: Kein. (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\Run: [shell] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\shell.exe
Böse Zum eingegebenen Programm shell haben wir folgendes Programm gefunden: Windows Shell Library Loader. (Resultate) Unbedingt fixen!
O4 - HKLM\..\Run: [help] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\help.exe
Unbekannt Zum eingegebenen Programm help haben wir folgendes Programm gefunden: Kein. (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\Run: [open] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\open.exe
Böse Zum eingegebenen Programm open haben wir folgendes Programm gefunden: Open Site. (Resultate) Unbedingt fixen!
O4 - HKLM\..\Run: [storage] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\storage.exe
Böse Zum eingegebenen Programm storage haben wir folgendes Programm gefunden: Protected Storage. (Resultate) Unbedingt fixen!
O4 - HKLM\..\Run: [stor] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\stor.exe
Unbekannt Zum eingegebenen Programm stor haben wir folgendes Programm gefunden: Kein. (Resultate) Nicht bekanntes Programm.
O4 - HKLM\..\Run: [components] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\components.exe
Unbekannt Zum eingegebenen Programm components haben wir folgendes Programm gefunden: Kein. (Resultate) Nicht bekanntes Programm.
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
Gut Zum eingegebenen Programm Symantec NetDriver Monitor haben wir folgendes Programm gefunden: Symantec NetDriver Monitor. (Resultate)
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
Gut Der Eintrag Download with GetRight wurde als Gut erkannt. Wenn der Eintrag 'Download with GetRight ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
Gut Der Eintrag Open with GetRight Browser wurde als Gut erkannt. Wenn der Eintrag 'Open with GetRight Browser ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
Gut Der Eintrag Sun Java Konsole wurde als Gut erkannt. Wenn der Eintrag 'Sun Java Konsole ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra button: SchnapperPlus (HKLM)
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen. Wenn der Eintrag 'SchnapperPlus ' nicht bekannt ist, fixen!
O9 - Extra button: Yahoo! Messenger (HKLM)
Gut Der Eintrag Yahoo! Messenger wurde als Gut erkannt. Wenn der Eintrag 'Yahoo! Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
Gut Der Eintrag Yahoo! Messenger wurde als Gut erkannt. Wenn der Eintrag 'Yahoo! Messenger ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/do
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symant
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macro
Gut Dieser Eintrag wurde als Gut identifiziert!
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symante
Gut Dieser Eintrag wurde als Gut identifiziert!


Dieses Logfile wurde automatisch ausgewertet!
Werten auch Sie Ihr Logfile automatisch auf www.hijackthis.de aus!

[drbest]

Mh.... krieg ich den fehler net so weg ohne alles zu löschen weil ich erst vor 1 woche habe
woran liegt das? und was ist das genau bitte um hilfe ist echt dringend

[Rika]

Sorry, daß ich so frage, aber: Stellst du dich nur so an oder...
Offensichtlich hast du genau die gleiche Malware wie der Kandidat oben.

Zitat

O4 - HKLM\..\Run: [list] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\list.exe
O4 - HKLM\..\Run: [shell] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\shell.exe
O4 - HKLM\..\Run: [help] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\help.exe
O4 - HKLM\..\Run: [open] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\open.exe
O4 - HKLM\..\Run: [storage] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\storage.exe
O4 - HKLM\..\Run: [stor] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\stor.exe
O4 - HKLM\..\Run: [components] C:\DOKUME~1\GUIDO&~1\LOKALE~1\Temp\components.exe

Also fix weg damit und mal nachdenken woran es liegen könnte daß sowas überhaupt auf deinen Rechner kam.


@zero-one: Ist das wirklich dein Logfile oder zu wem gehört das? Dort ist wieder genau diese Malware drin.

Dieser Beitrag wurde von Rika bearbeitet: 15. Juli 2004 - 23:15

[drbest]

ja sorry aber kannst du mir net einfach sagen woran es liegt oder was ich mir da eingefangen habe ?!!! BItte um Hilfe

[Rika]

Kann alles mögliche sein, ich vermute mal die Nutzung vom IE als primären Webbrowser. Wenn du wissen möchtest was es ist dann schicke mir doch einfach mal eines der Files.

[h0nki]

Ich habe auch das Problem Luafzeitfehler 53

Würde mich freuen, wenn mir einer von euch helfen kann

Hier die LogFile von HiJackThis:
-------------------------------------------------------------------------
Logfile of HijackThis v1.98.0
Scan saved at 15:54:07, on 30.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
G:\steam\steam.exe
D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Extensis\Suitcase 9.2\Suitcase.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\apache\mysql\bin\winmysqladmin.exe
C:\apache\mysql\bin\mysqld.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_198\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft...=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft...=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft...=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [DigidesignMMERefresh] d:\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [Microsoft Windows Task Manager] taskmanagr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [components] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\components.exe
O4 - HKLM\..\Run: [shell] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\shell.exe
O4 - HKLM\..\Run: [Wmedia] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Wmedia.exe
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\kernel32.dlI
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft Windows Task Manager] taskmanagr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "g:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Microsoft Windows Task Manager] taskmanagr.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Suitcase Startup.lnk = D:\Extensis\Suitcase 9.2\Suitcase.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative....119/CTSUEng.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq....dyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.co...aploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative....12119/CTPID.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com...tivex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{990CED34-F0C2-4DD0-B482-3ADDA04BD79D}: NameServer = 217.237.149.225 194.25.2.129
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL
__________________________________________________
________________

Vielen Dank Schonmal

[Rika]

1. Bist du zu faul zum Lesen oder was? Es ist immer wieder die gleiche Malware:

Zitat

O4 - HKLM\..\Run: [components] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\components.exe
O4 - HKLM\..\Run: [shell] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\shell.exe
O4 - HKLM\..\Run: [Wmedia] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Wmedia.exe

2. Und zusätzliche hast du noch diese:

Zitat

O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\kernel32.dlI

Schon allein das I statt l (bei der Schriftart vom Registryeditor sehen die beiden gleich aus) weist auf einen offensichtlichen Täuschungsversuch hin.

Zitat

O4 - HKLM\..\Run: [Microsoft Windows Task Manager] taskmanagr.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Task Manager] taskmanagr.exe
O4 - HKCU\..\Run: [Microsoft Windows Task Manager] taskmanagr.exe

Genauso hier, die unsinnigen Namen...

[h0nki]

tut mir leid, dass ich nicht soviel ahnung habe ...
ich habe freundlich gefragt und bekomme so eine antwort.
ich kann ja verstehen, dass man nur ungerne die gleichen antworten gibt.

aber das ist kein grund in dem ton zu antworten.

trotzdem danke, jetz is alles wieder bestens

[Rika]

Das hat nix mit Ahnung zu tun, sondenr schlicht und einfach Vernunft, Sachlichkeit und Verständnis - wenn man freundlich zu seinen Mitmenschen sein will, dann erspart man ihnen unnötige Sachen und benutze Google, die Boardsuche oder das Handbuch. Das hier ist schließlich auch ein Forum und kein Support, die Leute verwenden für das Antworten ihre Freizeit, und aus gutem Grunde haben sie bei unnötigen Fragen das Gefühl ihre Zeit zu vergeuden.

Der unfreundliche Ton ist dementsprechend ein freundlicher Nachdruck nach dem trotzdemigen Beantworten der Frage. http://www.hijackthis.de existietr übrigens und wurde in der Hoffnung entwickelt sowohl dem Fragenden als auch dem Antwortenden Arbeit zu ersparen.