Supportnet / Forum / Security/Viren

Mein Arbeits-Rechner (Dell mit Win XP) spinnt seit heute Morgen, die CPU-Last geht ohne Grund in die Höhe. Im Taskmanager ist aber kein Prozess zu finden, der diese entsprechende CPU-Last aufzeigt. Wenn ich Pozesse kille, werden automatisch neue gestartet z.B. calc.exe, auch die üblichen Müll-Popups tauchen ohne jeden Grund auf. Stutzig macht mich vor allem der Prozess verdph.exe zu dem ich keine Infos in den Suchmaschinen u. bei Norton oder McAfee finden kann. Hat vielleicht jemand einen guten Rat für mich, der da nicht lautet Mühle neu aufsetzen??

Hi!

Klingt nach einem Schädling.
Was meldet denn der Virenscanner Deiner Wahl?

Wenn Du die Möglichkeit hast, solltest Du das System von einer Boot-CD starten und über diese CD scannen.

Sicherheitshalber solltest Du vorerst mit dieser Kiste keine sensiblen Aufgaben durchführen, z.B. Onlinebanking.

Poste bitte auch mal ein HijackThis-Log. Vielleicht ist darin noch etwas zu erkennen.

Hallo Big Daddy!

Danke für Deine Antwort!

So ich hab jetzt nochmal das System mit Norton komplett gescannt u. siehe da er liefert mir nach langer langer Scanzeit die Meldung:
W32.Sober.X@mm!zip gefunden u. infizierte Datei isoliert.
Ich befürchte aber fast, dass es sich hier um eine neue Variante handelt, da die ganze techn. Details, die ich im Netz zu dem Unhold gefunden habe nicht auf mein aktuelles Dateisystem übertragbar sind.
Was dort steht, passt bei mir einfach nicht:
http://www.heise.de/security/artikel/66500

Zu denken geben mir v.a. folgende Dateien über ich die ich bislang aber nichts rausfinden konnte:

C:\WINDOWS\system32\sesxpsrv.dll
C:\WINDOWS\system32\iev6mon.exe
C:\WINDOWS\ohblwf.exe
evtl. noch:
C:\WINDOWS\Prefetch\VERDPH.EXE-2E65F533.pf

Ganz zu schweigen von denen die mir nicht aufgefallen sind. Leider konnte ich nur kurz heute an meinen Rechner u. dann habe ich auch noch die nächsten Tagen frei, will heißen mehr Infos kann ich erstmal nicht liefern. HiJackthis konnte ich leider auch noch nicht testen.
Wenn Norton aber die nächsten Tage nicht ein vernünftiges Virusdefinitionenupdate liefert, werde ich wohl am Wochende installieren müssen.
Oder hat vielleicht noch jemand nen guten Tipp auf Lager??

Hi!

Das ist echte Detektivarbeit :O)

Aber ich denke, zumindest zur Datei ie6vmon.dll habe ich was gefunden. Es könnte sich um eine Komponente von

Troj/Swizzor-BQ

handeln, zumindest laut Sophos. Es gibt wirklich nicht sehr viele Hinweise drauf, aber einige HijackThis-Logs anderer User haben mich drauf gebracht.

Da ich nicht weiß, was sich noch auf Deinem Rechner befindet und was dieses "etwas" fabriziert, würde ich Dir wirklich von hier aus vorschlagen, den Rechner neu aufzusetzen und anschließend vernünftig abzusichern.

Tipps dazu findest Du unter anderem bei

http://www.ntsvcfg.de/easy/index.html
http://www.linkblock.de
http://www.sides.de
http://sicher-ins-netz.info/schutz/schutz.html

Und nochmal Danke für Deine schnelle Antwort BigDaddy! Aber irgendwie ist das schon seltsam, ich konnte überhaupt rein gar nichts passendes zu den auf meinem System gefundenen Dateien im Netz finden.
Die Datenbanken von McAfee, Symantec u. Kaspersky jedenfalls sind bislang keine Hilfe bei der Virensuche, deshalb erneut an dieser Stelle mein Aufruf:

Wer kann mir etwas zu folgenden Dateien (vermutlich Virenbefall auf XP-Rechner) sagen:


C:\WINDOWS\system32\sesxpsrv.dll
C:\WINDOWS\system32\iev6mon.exe
C:\WINDOWS\ohblwf.exe
evtl. noch:
C:\WINDOWS\Prefetch\VERDPH.EXE-2E65F533.pf


Es geht um nichts geringeres als um die Wurst! Ich werd mein System zu 99 Prozent eh plattmachen müssen, also nur keine Hemmungen Leute.

siehe antwort1

post mal bitte hijackthis

anleitung siehe hier

danke!

gruessle yahman

^{oder auch erreichbar im supportnet-chat bzw. unter icq 104914022}

So gestern konnte ich endlich einen Hijackscan durchführen, hier sind die Ergebnisse aber in zwei Teilen - irgendwas meckert das Posting beim Hochladen an -, vielleicht kann mir ja jetzt jemand helfen:

Teil1:


Logfile of HijackThis v1.99.1
Scan saved at 21:50:50, on 15.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\NavNT\defwatch.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\neos\neos.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\ohblwf.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\wolfgang\Desktop\testThis.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sueddeutsche.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [neos.exe] C:\Programme\neos\neos.exe --background
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [verdph] c:\windows\system32\verdph.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KdgA] C:\WINDOWS\ohblwf.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Internet Explorer.lnk = C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - Global Startup: mIRC.lnk = C:\mIRC\mirc.exe
O4 - Global Startup: NBX TAPI Dialer (2).lnk = C:\Programme\3Com\NBX\NBX TAPI Dialer\TAPIDIALER.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra ´Tools´ menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra ´Tools´ menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Teil 3:

O14 - IERESET.INF: START_PAGE_URL=http://www.sueddeutsche.de/
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32n.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/234350506077b8f18706/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102427800902
O17 - HKLM\System\CCS\Services\Tcpip\..\{F383897B-F584-4A73-971D-0A5A04750DD9}: NameServer = 212.82.225.7,212.82.226.212
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: DDUYV - Sysinternals - www.sysinternals.com - C:\DOKUME~1\wolfgang\LOKALE~1\Temp\DDUYV.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Intel File Transfer - Intel Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

Das System ist derart belastet mit 180solution.com, diversen mutierenden Trojanern das
der NAV schon längst ausgehebelt worden ist.
Also nicht nur ein Schädling, sondern eine ganze Horde.
Ich mach mir nicht die Mühe, die alle zu benennen - zwecklos.
Sorry für die schlechte Nachricht.
Michael

alles mal mit pestpatrol überprüfen

nach jeder verbleibenden exe und dll datein googlen mit dem wort "wintasks" dann siehst du womit diese was zu tun haben.....

greif dir dann gern unter die arme ...... aber die vorarbeit solltest du dann selbst leisten oder ich verbind mich mal mit deinem rechner und wir fixen das so .... dazu musst mich aber erstma im chat erreichen

gruessle yahman

^{oder auch erreichbar im supportnet-chat bzw. unter icq 104914022}

Hi!

Tja, das Log-File sieht ja in der Tat sehr merkwürdig aus.
Sorgen machen mir vor allem die Dateien, die Du angeführt hast.

Was in der Tat sein kann, und da hat Urmel recht, ist, daß ein Schädling auf dem Rechner ist, der den Virenscanner auf Deutsch gesagt hinterrücks verarscht. Deswegen solltest Du eventuell versuchen, das System von einer Boot-CD zu starten und von dieser aus zu scannen.

Was Du noch machen könntest : nimm die "unbekannten" Dateien und lasse sie bei "virusscan.jotti.org" checken.
Eventuell könntest Du auch darüber nachdenken, diese Dateien mal an diverse Antivirenhersteller zu schicken.
Wenn es sich tatsächlich um was neues handelt, wären die sicher happy.
Wenn nicht, kannst Du diese Dateien auch an mich schicken. Würde sie dann an die entsprechenden Stellen weiterleiten.

Ich denke aber, daß es wahrscheinlich sicherer ist, das System komplett neu aufzusetzen, bevor Du weiterhin dran rumrätselst. Mit einer Neuinstallation hast du zumindest die Gewissheit, ein sauberes System zu erhalten.

Hi Leute

Was sagt ihr zu meinem? *bibber*

Logfile of HijackThis v1.99.1
Scan saved at 13:24:23, on 17.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia PC Suite\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia PC Suite\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra ´Tools´ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra ´Tools´ menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {604E7FBD-473C-428D-87F9-630C36112E48} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122288696609
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E502B5B-68A8-4B43-ACC2-D2723C016870}: NameServer = 195.202.32.79 195.202.33.68
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hallo steffi,


das kannste dir selber auswerten lassen auf folgender seite.
http://www.hijackthis.de/

kopierst es da rein und gehst dann auf auswerten.

lg

oh toll, danke!!!

O17 - HKLM\System\CCS\Services\Tcpip\..\{7E502B5B-68A8-4B43-ACC2-D2723C016870}: NameServer = 195.202.32.79 195.202.33.68 Eventuell Böse
Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die ´SearchList´-Einträge (Suchlisten-Einträge).
Es liegt noch keine Besucherbewertung vor! Kennen Sie die IP oder die Domäne ´195.202.33.79 195.202.33.68´ nicht, fixen.

und wat nu?

haken setzen und fix checked anklicken!

gruessle yahman

^{oder auch erreichbar im supportnet-chat bzw. unter icq 104914022}

Hallo,
starte den Scan doch mal im abgesicherten Modus. Aber vorher musst Du die Systemwiederherstellung deaktivieren (Arbeitsplatz, rechte Maustaste).

Abgesicherter Modus: Start / Ausführen / msconfig eingeben / BOOT.INI auf Safeboot setzen


Hinterher die Einstellungen wieder rückgängig machen !!!

Gruss
Petra

Dankeschön!
Wenn ich euch nicht hätte...

Hi!

@yahman : wozu? Ich nehme mal an, Steffi ist Kunde von
Citykom Münster. Auch die sollen sowas wie einen Nameserver haben. Und ein kurzes whois sagt Dir dann auch, daß dieser Server unter 195.202.33.68 läuft.

@Steffi : Dein Log sieht sauber aus. Diese komische igfxsrvc.exe gehört zu einer Intel-Software und die Sache mit dem Nameserver kannst Du auch ignorieren, wenn Du über Citykom ins Internet gehst.

• TR/Click.Agent.JH.4 VIRUS
• Virus
• Virus: TR/Dldr.Agent.dwe
• VIRUS.Batch löschen?
• Hate 971 Wer kennt diesen Virus und wie kann man ihn entfernen?