GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 2 3 | zum Seitenende |
|
Autor | Mitteilung |
gilian Board-Champion Beiträge: 4301 | Gesendet: 16:15 - 17.03.2006 Habe meine Anti-Spyware durchlaufen lassen. Ist gleich der Virenchecker ins Bild gesprungen und hat mir EXPLOID. IMG.WMF angezeigt. Dann kam ein Fenster von der Anti-Spyware mit dem Text: UNVORHERGESEHENE SPY-KATEGORIE BEIM EINFÜGEN VON SPYWARE IN DIE VERZEICHNISSTRUKTURANZEIGE! Also den Satz versteh ich mal gar nicht. Das ganze passiert seit einiger Zeit jedesmal beim durchlaufen meiner Antispyware Steganos 7. Dieses Textfenster kommt auch von Steganos selbst. LG gilian |
Gotti
Board-Champion Beiträge: 4498
|
Gesendet: 16:30 - 17.03.2006 ..das ist eine Warnmitteilung für einen Trojaner. Mach mal sicherheitshalber ein Logfile und kopiere es ins Forum, damit wir mal checken können, ob du was " gefangen" hast. Gotti |
Gotti
Board-Champion Beiträge: 4498
|
Gesendet: 16:33 - 17.03.2006 hier ist die Logfile-Anleitung. |
gilian
Board-Champion Beiträge: 4301
|
Gesendet: 16:45 - 17.03.2006 Scan saved at 16:44:10, on 17.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Acer\eManager\anbmServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\system32\IKAutoUp.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steganos AntiSpyware 7\aspy7.exe C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\system32\IKAutoUp.exe /LOG O4 - HKLM\..\Run: [Guard NT] C:\Programme\Aon\AonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O17 - HKLM\System\CCS\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH |
gilian
Board-Champion Beiträge: 4301
|
Gesendet: 16:46 - 17.03.2006 Richtig so? |
Gotti
Board-Champion Beiträge: 4498
|
Gesendet: 16:49 - 17.03.2006 ...ja, ich schau jetzt mal nach.. |
Mr. Not Perfect
Boardmeister Beiträge: 673
|
Gesendet: 16:50 - 17.03.2006 Soweit ich weiß sind .wmf files spezielle Bilddateien von Microsoft Picture IT!. Aber kann natürlich auch ein Trojaner sein! Ich hab mal gesucht.. Zitat: Scheint wohl ein Trojaner zu sein! Gruß Kris |
Gotti
Board-Champion Beiträge: 4498
|
Gesendet: 17:00 - 17.03.2006 wenn Du hier frauf klickst, siehst Du die Auswertung. Im Prinzip nichts Auffälliges, http://www.hijackthis.de/index.php#anl, die beiden Einträge [Link zum eingefügten Bild] würde ich aber sicherheitshalber mal fixen=beseitigen. Wie das einfach geht, steht auch in der Logfileanleitung. Gotti |
gilian
Board-Champion Beiträge: 4301
|
Gesendet: 17:48 - 17.03.2006 Gotti Du bist Spitze! Kris Dir auch ein Dankeschön! So die Auswertung hab ich jetzt und verschiedene Dinge sind zum fixen. Das Fenster wo man fixt hab ich ,aber die Auswertung ist woanders. Muss ich jetzt das was zum fixen ist mir abschreiben oder geht das anders? Schnauf |
caboehmer
Boardkaiser Beiträge: 2633
|
Gesendet: 17:50 - 17.03.2006 Hallo zusammen, 195.3.96.67 und ...68 sind ja Nameserver - haben also nichts mit gilians System zu tun. Warum werden dann diese Einträge aufgeführt? Bei mir kommt so ein Eintrag nicht vor!? MfG Carsten |
gilian
Board-Champion Beiträge: 4301
|
Gesendet: 18:08 - 17.03.2006 Grad wollt ich fragen ich hab 2 Dinge die so aussehen: Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen. Wie soll ich die IP kennen? Das fixen bringt mich um. Wollt jetzt die Auswertung ausdrucken das ich auch weiß was ich fix, ist wieder das Wichtigste nicht drauf, stöhn |
- Unverständliche Meldung - | zum Seitenanfang |
|
Version 3.1 | Load: 0.004611 | S: 1_2 |