GANZ DRINGEND!!!! VIRUS? INET LAHMT!

  • #1
N

NeKs

Bekanntes Mitglied
Themenersteller
Dabei seit
18.01.2004
Beiträge
62
Reaktionspunkte
0
Ort
hIa
Hey Leuzt!

Meine Mom hat letztens als sie im Internet surfte eine Datei zugelassen, als sie von Zone Alarm gefragt wurde!

Nun ist mein Inet lahm und wenn ich nix mache ist die Connection trotzdem ausgelastet (Modem). Irgendwie zieht die Datei oder was auch immer jetzt Daten aus dem Inet -.-

Ich hab schon alles mäögliche drüber laufen lassen, was kann ich noch tun? Ich find die Datei nicht weder im Task Manager noch sonst wo :(

Bitte helft mir!
 
  • #2
p.s. er zeigt keine prozesse im TaskM. aber trotzdem ist die connection gelahmt!

... und nun hat sich grad ein prog geöffnet also wahrsch. von selbst installiert... Security iguard aber harmlos! wie ad aware habs uninstallt aber trotzdem lahmt inet ...
 
  • #4
oO... meine Notepad hats rausgeschmissen :-X wenn ich den Log sehen will, dann kommt notepad.exe versucht auf das inet zu zugreifen aber dann geht ie auf ??? und so wirklich mit den prozessen auskennen tu ich auch nich :-[

aaah der hat den gesaved ^^ dann also hier mla mit wordpad geöffnet!

Logfile of HijackThis v1.99.1
Scan saved at 19:23:04, on 10.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Windows\system32\spoolsv.exe
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Windows\System32\nvsvc32.exe
C:\Windows\system32\pctspk.exe
C:\Windows\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Windows\Explorer.EXE
C:\PROGRA~1\Firewall\WINPAT~1\WinPatrol.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Windows\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\FearFlash\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.206.5.224:2326
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\Firewall\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite4excl\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Microsoft® JavaScript® Console - {0883B79E-2D1F-45A7-91A6-24F5479F0BDB} - C:\Windows\System32\Comdlg32.ocx
O9 - Extra->Tools' menuitem: JavaScript Console - {0883B79E-2D1F-45A7-91A6-24F5479F0BDB} - C:\Windows\System32\Comdlg32.ocx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Microsoft® JavaScript® Console - {727E82C2-0AB6-4F99-AC04-583D0FE08F7B} - C:\Windows\System32\Comdlg32.ocx
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\Windows\System32\crt32_v2.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4excl.\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite4excl.\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra->Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Microsoft® JavaScript® Console - {FEACCEDD-5E2C-436A-8E3D-0CA62DF860B8} - C:\Windows\System32\Comdlg32.ocx
O9 - Extra button: Microsoft® JavaScript® Console - {0883B79E-2D1F-45A7-91A6-24F5479F0BDB} - C:\Windows\System32\Comdlg32.ocx (HKCU)
O9 - Extra->Tools' menuitem: JavaScript Console - {0883B79E-2D1F-45A7-91A6-24F5479F0BDB} - C:\Windows\System32\Comdlg32.ocx (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\Windows\System32\crt32_v2.dll (HKCU)
O10 - Broken Internet access because of LSP provider->nmtracer.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {10000030-1000-0000-1000-000000000000} - its:mhtml:file://c:\\MAIN.MHT!
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q383302.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} -
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) -
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB66F8E4-F489-4219-B587-5D188B22EFC1}: NameServer = 62.26.136.136 62.27.27.62
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - (no file)
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - (no file)
O20 - Winlogon Notify: WB - C:\PROGRA~1\WINDOW~4\fastload.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTSvcCDA.EXE (file missing)
O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\Windows\system32\pctspk.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: WMDM PMSP Service - Unknown owner - C:\WINDOWS\System32\MsPMSPSv.exe (file missing)



vielen dank schon mal!!!!!!! :)
 
  • #5
es kommen auch immer kleine ie fenster mit zb failed to create file :[
 
  • #6
Da sollte einiges gefixt werden. Lass Dein Logfile mal bei prüfen.

Greetz, Trispac
 
  • #7
Hi und danke!

Sorry, wenn ich mich grad so dumm stelle, aber wie lösche ich dann die Bösen und Unnötigen Dateien raus? Geht das mit HJT? Bin grad nicht @ home deswegen frag ich :] danköööö auf jeden Fall!
 
  • #8
Ja, das geht. du kannst nach dem Scan in HJT die betreffenden Einträge auswählen und fixen lassen.

Greetz, Trispac
 
  • #9
Hey! Hab jetzt mal gefixed hoffe es bringt was, jedoch hat der mir nen Fehler angezeigt:

010 Winsock LSP konnte nicht entfernt werden soll also von runterladen! Kein ding mach ich gleich mal!

Und dies kommt auch noch Oo

files.JPG


Greetz!

BOAH - jetzt seh ich dass es die URL net gibt oO... ach und das eine Bild mit dem MP3 player - ist denke keine richtiges POPup da ich nur mit dem Inet verbnden war aber noch keine Site aufgerufen hatte!
 
  • #10
hm. nach nem neustart sind schon wieder 4 böse einträge drin -.- könnte das auch ein richtiger virus sein ? soll ich mal antivir drüber lassen? :-[ :-X
 
  • #11
NeKs schrieb:
soll ich mal antivir drüber lassen? :-[ :-X
Zum Vergrößern anklicken....
Was soll die Frage ?!?
Normalerweise hat man IMMER nen aktuellen Virenscanner mitlaufen !

Cheers,
Joshua


EDIT:
Upps - mal das nicht im Satz entfernt.... *peinlich*
 
  • #12
@Neks

Von AntiVir halte ich nicht sehr viel. Aber besser als gar nichts
Benutze mal bitte zum entfernen eScan


Lies Dir bitte die Anweisungen sorgfältig durch, die Schädlinge musst Du dann manuel entfernen.
 
  • #13
@bla bla:
Thx - habs korrigiert. ;D
Da waren die Finger wieder schneller als das Hirn.....

Cheers,
Joshua
 
  • #14
  • #15
hm okay lad mal das tool ^^ aber die site funktioniert nicht oO also mit dem tool!
 
  • #17
ok habz ^^ thanx! jetzt ab in den abgesicherten modus :]
 
  • #18
also, scheint immo wieder zu funtzn aber die dämlichen POPUPS kommen noch irgendeine Phamra Firma o_o kann ich da noch was machen?
 
Thema:

GANZ DRINGEND!!!! VIRUS? INET LAHMT!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.965
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben