Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Viele Registryfehler, Highjacker und Viren?





Frage

Hi zusammen, ich hab ganz schön viel ärger in letzter zeit. meine scanner (f-prot, stinger und norton jeweils neuestes update) finden nichts auffälliges. adaware war letztens aber richtig ausgeschlagen. 80 funde! hab die jetzt alle schon beseitigt, adaware findet nun auch nichts mehr. spybot meldet jedoch immer 5 einträge von DSO Exploit in der registry, welche immer wieder neu erscheinen. wie kann ich die löschen? highjackthis hab ich auch, doch werd ich daraus nicht sonderlich schlau. wie kann ich euch den bericht geben?? ich bin mir aber ziemlich sicher, dass da was stinkt! des weiteren funzt winamp3 nicht mehr. es kommt die fehlermeldung "File C:\projects\studio\Ns_database\Vfs.cpp Line 149" nun zum großen problem (?) der taskmanager zeigt mir verdammt nochmal zu viel an! da wären u.a.: ati2evxx.exe (3x) ccApp.exe CCEVTMGR.exe CISVC.exe CoolSRV.exe CSRSS.exe SMSS.exe SPOOLSV.exe LSASS.exe ctfmon.exe sowie einige andere, mir aber schon eher vertraute exen. was meint ihr? des weiteren hab ich gesehen, ist die svchost.exe zwar im richtigen verzeichnis, doch ist eine pf-datei im pfad c:\windows\prefetch was ist von alle dem zu halten??? bitte um hilfe, hier treten immer seltsame fehler auf, vorallem hängen einige programme sich beim start auf (winamp, regcleaner-regedit-funktion geht nicht).

Antwort 1 von Mickey

Zu deinem Exploit: Durch eine Sicherheitslücke im Zonenmodell des IE und dem Umgang mit ActiveX Elementen im Internet Explorer wird es Webseiten erlaubt, Skripte unabhängig von den Sicherheitseinstellungen ohne vorherige Nachfrage auszuführen.
Ein Bug von Spybot ist, dass statt das ein Schlüssel zum Fixen als DWORD Wert anlegt wird, dieser von Spybot immer als Zeichenfolge Reg_SZ angelegt wird. Dadurch wird diese Sicherheitslücke nicht geschlossen, und Spybot findet bei jedem Scan aufs neue diese Lücke.
Auch ein komplettes patchen via Windows Update kann diese Lücke schliessen.

Zu deinem Hijack Log: einfach Save Log... - und dann hier posten.
Den Prefetch Ordner kannst du generell löschen.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 2 von FlowerKing

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\EPOX\USDM\USDM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\cisvc.exe
D:\Programme\CPUCooL\CooLSrv.exe
D:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Programme\mirc\mirc.exe
D:\Programme\Mozilla\firefox.exe
D:\Programme\a2\a2guard.exe
D:\Programme\HijackThis19802.exe
C:\WINDOWS\system32\cidaemon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [PowerVRGameSettings] C:\WINDOWS\pmxreg.exe -regfile C:\WINDOWS\gamestng.reg
O4 - HKLM\..\Run: [PowerVRUninstall] C:\WINDOWS\pmxreg.exe -setupUninstall
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [UpdateReg] UpdReg.exe
O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program Files\EPOX\USDM\USDM.EXE" "5000"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ChatSpace Java Client 2.0.0.66 - http://212.105.197.43:8090/Java/cs4ms066.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDF4A84-4059-43D2-A6B6-FC35542EF55A}: NameServer = 192.168.0.1,192.168.0.3

Antwort 3 von elseB

das ist nicht das ganze logfile.
also noch mal und jetzt alles.

Antwort 4 von FlowerKing

Logfile of HijackThis v1.98.2
Scan saved at 17:40:12, on 19.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\EPOX\USDM\USDM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Mozilla\firefox.exe
D:\Programme\HijackThis19802.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [PowerVRGameSettings] C:\WINDOWS\pmxreg.exe -regfile C:\WINDOWS\gamestng.reg
O4 - HKLM\..\Run: [PowerVRUninstall] C:\WINDOWS\pmxreg.exe -setupUninstall
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [UpdateReg] UpdReg.exe
O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program Files\EPOX\USDM\USDM.EXE" "5000"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ChatSpace Java Client 2.0.0.66 - http://212.105.197.43:8090/Java/cs4ms066.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDF4A84-4059-43D2-A6B6-FC35542EF55A}: NameServer = 192.168.0.1,192.168.0.3

Antwort 5 von rudolph.

mache mal ne automatische auswertung selbst
http://www.hijackthis.de/

und dann noch mal scannen mit escan
http://www.trojaner-board.de/showthread.php?t=6083
anleitung genau beachten!

Antwort 6 von FlowerKing

DAS war die richtige antwort! hätt ich das eher mal gewusst ..... also ich bin jetzt hoffentlich clean.

in den laufenden prozessen ist noch immer die lsass.exe , welche aber bei highjackthis auch nicht als böse analysiert wurde. ich krieg die exe auch eh nicht weg. ansonsten finden adaware, spybot und highjackthis nichts böses mehr - dann müsste doch alles wieder ok sein .... oder?

Antwort 7 von rudolph.

lsass.exe gehört zum system.
wie wäre es mit einem virenscanner

hier das für und wieder zu antivir


Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: