update-sp1.html

uber · 16.07.2005

ja bei mir kommt nach einiger zeit immer das cmd.exe fenster und dann will opera ne updatesite ausm localhost öffnen.

mein internet läuft auch ziemlich langsam und in spielen laagt es sehr stark.
ich glaube es hat was mit einer sign.exe zu tun die sich bei mir auf c: befindet. aber wenn ich sie lösche stellt sie sich irgendwann nach ner zeit wieder automatisch her...

hier die hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 21:12:08, on 16.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Game Accelerator\gamexl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\mIRC\mirc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Opera\Opera.exe
C:\DOKUME~1\Rico\LOKALE~1\Temp\Rar$EX00.141\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Rico\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [GameXL] C:\Programme\Game Accelerator\gamexl.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra->Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
O9 - Extra->Tools' menuitem: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3B9675-9C18-4ABC-8F32-E2318B4760DE}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe
O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

ich hoffe ihr wisst was ich dagegen tun kann!

mfg rico

mav1976 · 16.07.2005

Moin,

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Rico\LOKALE~1\Temp\se.dll/spage.html

lese Dir diese Seite mal durch: http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Dies beschreibt Dein Problem ganz gut.

uber · 16.07.2005

habe den cleaner benutzt aber er hat keine infektion gefunden =/
das problem besteht übrigens weiterhin!
nach dem neustart hatte sich die sign.exe wieder selbst hergellt und die html dateien in c:windows entpackt.

log sieht nun so aus:

Scan saved at 22:08:32, on 16.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Game Accelerator\gamexl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\explorer.exe
D:\Opera\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Rico\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [GameXL] C:\Programme\Game Accelerator\gamexl.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra->Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
O9 - Extra->Tools' menuitem: Microsoft AntiSpyware helper - {B39E3A5C-5A9C-4C25-B51F-6D5770866802} - (no file) (HKCU)
O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3B9675-9C18-4ABC-8F32-E2318B4760DE}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe
O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

mav1976 · 16.07.2005

Lösche die ActiveXPlugins (O16 Einträge) und deaktiviere über die Zoneneinstellung deiner Internetoptionen die AktiveXcontrols.

O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe

Was ist das hier eigentlich für ein Dienst? Führe bitte auch mal einen kompletten Scan mit AdAware und S&D durch.

uber · 17.07.2005

hab das alles gemacht....

image.exe mit hijack gelöscht war danach immernoch da, aber das is wohl das kleinere problem =/

ebend kam wieder cmd.exe und nun haben sich ein paar spudpate fenster geöffnet und auch symantec seiten =/

ich weiss net was ich dagegen tun soll und das internet laagt auch immernoch.

wenn ich die sign datei lösche stellt sie sich nach ner zeit von alleine wieder her.

PCDpan_fee · 17.07.2005

uber schrieb:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

SP2 fehlt ???

O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone

??? würde ich fixen

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab

Media Pass Spyware
http://www.scanspyware.net/info/MediaPass.htm

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - secure2.comned.com/signuptemplates/securelogin-devel.cab

ActiveX-Objekte im Downloaded Program Files kontrollieren und evtl. löschen

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

ist nicht der AOL Instant Messenger
W32/Sdbot-YT: http://www.wintotal.de/Spyware/index.php?Filter=A#Spyware288

O23 - Service: WIN32 (image) - Unknown owner - C:\WINDOWS\image.exe

W32/Sdbot-AAQ: http://www.wintotal.de/Spyware/index.php?Filter=I#Spyware5316

O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)

Troj/Bdoor-HU: http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware3090

update-sp1.html = Trojaner MULDROP.AQ/Win32.Secdrop.HB
http://www.wintotal.de/Spyware/index.php?Filter=U#Spyware4927

pan_fee

uber · 17.07.2005

so image.exe und mousehs.exe hab ich mit hijack gefixt aber es is immernoch da und ich habe keine ahnung wie ich das mit dem sp-update1.html wegkriegen soll. =/

uber · 17.07.2005

ich hatte auch schonma alle dateien die er entpackt hatte gelöscht und er kam trotzdem wieder =/

uber · 17.07.2005

so diverse online virenprogramme haben noch mehr viren gefunden als antivir, aber sie können sie auch irgendwelchen gründen nicht entfernen.... :/

uber · 17.07.2005

mit bitdefender konnte ich einige entfernen...

ich habe herrausgefunde, dass sich die cmd.exe erst öffnet wenn ich im internet bin. dann zieht er anscheinend auch die sign.exe wo alles drin ist =/

also gibt es ne möglichkeit das zu blockieren oder weiss wer wie ich diesen verdammten trojaner entfernen kann?
ich kann doch net der einzige der dieses problem hatte =/

weil er laagt mein ganzes internet =/

update-sp1.html

uber

mav1976

uber

mav1976

uber

PCDpan_fee

uber

uber

uber

uber

update-sp1.html

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums