Programme lassen sich nicht öffnen

  • neuer hijack scan


    Logfile of HijackThis v1.98.0
    Scan saved at 14:25:14, on 09.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\ups.exe
    C:\WINDOWS\htpatch.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\Dit.exe
    C:\Programme\Microsoft Hardware\Mouse\point32.exe
    C:\WINDOWS\System32\taskswitch.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    D:\PROGRA~1\RCrawler\RCrawler.exe
    D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE
    C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
    D:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
    C:\WINDOWS\DitExp.exe
    D:\Programme\ZoneAlarm\zlclient.exe
    D:\Programme\Papa's Prog\TuneUp Utilities\MemOptimizer.exe
    D:\Programme\a2\a2guard.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    D:\Programme\Kaspersky Anti-Hacker\KAVPF.exe
    D:\Programme\Xerox\ControlCentre 2.0\Pagis\Monitor.exe
    D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.4\Desktopprogramm ver.1.4.exe
    D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
    D:\Programme\VB6-Projekte\Kräftigungswecker\Mit Papa\Programmcodes\KPlan.exe
    C:\WINDOWS\System32\ZoneLabs\vsmon.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    D:\Programme\Hijack 1.98\HijackThis.exe


    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
    O1 - Hosts: die von Microsoft TCP/IP
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
    O4 - HKLM\..\Run: [Registry Crawler] D:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
    O4 - HKLM\..\Run: [InstantAccess] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
    O4 - HKLM\..\Run: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
    O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
    O4 - HKLM\..\Run: [ControlCentreTray] "D:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\Papa's Prog\TuneUp Utilities\MemOptimizer.exe autostart
    O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ\ICQ 4.0\ICQLite.exe -trayboot
    O4 - Startup: Desktopprogramm ver.1.4.lnk = D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.4\Desktopprogramm ver.1.4.exe
    O4 - Startup: ICQ 4.0.lnk = D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
    O4 - Startup: Kräftigungswecker.lnk = ?
    O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
    O4 - Global Startup: Pagis-Zeitplan-Monitor.lnk = D:\Programme\Xerox\ControlCentre 2.0\Pagis\Monitor.exe
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
    O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
    O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.micros…eb_site.cab?1089322130125
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data…/1.1.62-big/GoogleNav.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
    O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.161 194.25.2.129

  • Zitat von Tag auch

    Da ich auf meine um die 20 Suchen im google keine einzige genaue Beschreibung (geschweige denn Andeutung) dieses Wurms gefunden hab,


    5. Google-Link: http://www.rz.uni-karlsruhe.de/rz/sec/virus/Xabot.html
    http://www.google.com/search?q…amp;ie=utf-8&oe=utf-8
    :brille:
    Den:
    O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
    kannste auch löschen, der funktioniert nicht mehr( File missing).


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Also ich hätte da ma ne Frage wie kann ich ausfindig machen, welcher Virus welche Dateien in welches Verzeichnis kopiert. Ich hab nämlich noch 3 andere Dateien gefunden, da wo der Xabot welche hin hat (zB Hidden & Dangerous 2 NO CD Crack.exe, Deus Ex Invisible War NO CD Crack.exe, Counter-Strike Condition Zero Keygen.exe) die aber nich von ihm sind.

  • Die angegebenen Dateien waren doch von Xabot wurde bloß von Symante nich angezeigt. Allerdings funzt des "Taskmgr.com" immer noch (bzw. regedit.com)


    Was soll ich bloß machen???

  • Zitat

    Allerdings funzt des "Taskmgr.com" immer noch (bzw. regedit.com)


    Das sind eigentliche keine .com Dateien sondern haben die Endung .exe
    Taskmgr.exe in Windows/System32
    regedit.exe im Windowsordner


    Hast du die Seite überhaupt gelesen die von Hyrican verlinkt wurde.
    Da stehen doch einige Ansätze drin.


    So z.B.


    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun


    Möglicherweise stehen deine Progs da aufgelistet.
    Lösche den Schlüssel DisallowRun wenn er da ist.


    Aber auf eigene Gefahr :wink:


    Hier nochmal der Link:
    http://www.rz.uni-karlsruhe.de/rz/sec/virus/Xabot.html



    Eine weitere Massnahme wäre die Systemwiederherstellung zu bemühen und einen Wiederherstellungspunkt vor der Infizierung auszuwählen.
    Seitdem installierte Software musst du dann natürlich erneut installieren.
    Was aber wohl ein kleineres Übel ist.

  • Michael  
    ich weiß nich obs in dem forum war auf jeden Fall hab ich gelesen, dass wenn man Taskmgr/regedit anstatt exe in com umwandelt un die dann ordnungsgemäß funzen, dann hat man viren/würmer/schrott.. drauf.


    Ich bin derweil auf wat Neues gestoßen "dir0 012345" dieser Wert wird in einem Eintrag in der Registry vom W32.Spybot gesetzt, allerdings auch von min 3-X (X=unbekannt) auch. D. h. ich hab in den manual removal anleitungen immer nur ein paar einträge gefunden aber nie den vollen virus von der anleitung. Jmd. ne Idee wie ich den echten entdecke?

  • Wie wäre es denn wenn du dir den Link in meiner Sig nochmal in Ruhe durchliest, die Anleitung zum Port schließen ausdruckst, dir einen ordentlichen Virenscanner kaufst, formatierst und neu aufsetzt, die Ports schließt, dann erst online gehst und dir die Updates für Windows und dein Antivirusprogramm ziehst. Dann solltest du alle deine Paßwörter ändern und darüber nachdenken ob Filesharing sinnvoll ist weil du dir ja offensichtlich immer wieder Schädlinge einfängst.
    Es bringt nix Würmer zu entfernen wenn du immer wieder Nachschub ziehst, du mußt das Übel an der Wurzel packen und das ist dein Sicherheitskonzept. Erst dann macht es Sinn denn sonst wird der Thread hier 20 Seiten lang und die Lösung für das letzte Problem ist dieselbe wie für das erste.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Kannst du mir ma nen Link zum port schliessen schicken plz? -> thx


    Natürlich hab ich an formatieren gedacht, mein einziges Zögern beim formatieren war immer/immer noch, dass ich bestimmt 200 Programme (zum teil auch trial in vollver mit serials umgewandelt...) hab die ich nie mehr so hinkrieg wie sie jetzt sin un laufen und eigentlich hab ich auch keine zeit dafür, denn bis ich alles so hab wie jetzt dauert des bestimmt ne woche!!! Da probier ich lieber Würmer umständlich zu entfernen aber trotzdem danke, dass du mir helfen wolltest.


    Wie meinst du des, dass ich immer nachschub ziehe?


    Noch ne Frage weiß noch jmd ein Prog zum adden, biss jetzt hab ich drauf:


    -Norton evtl. muss schauen ob ich die vollver. krieg, ansonsten AntiVir
    -Ad-Aware (ein Muss)
    -Spybot S&D
    -Spyware Blaster
    -ZoneAlarm (free)
    -Kaspersky Anti-Hacker
    -a²
    -Hijack This (natürlich)


    -Browser versuch ich grad mein Denken vom IE auf Mozilla umzustellen
    -mit Security Task Manager überwach ich Prozesse


    Mehr fällt mir grad nich ein


    Danek für euer bisheriges Bemühen :) :lol:

  • Zitat

    zum teil auch trial in vollver mit serials umgewandelt...)


    Tue dir und uns einen Gefallen und spare dir hier solche Informationen.
    Lies dir die Forenregeln durch und halte dich daran.

  • Wieviel Links willst du denn noch? In jedem meiner Posts wird meine Signatur angehängt(unter dem Querstrich) und in dieser ist ein Link( allgemeine Tips zur Systemsicherheit) der zu einem Thread führt wo wieder ne Menge Links drinstehen unter anderem der zum Port schließen. Du hast dich somit eben als einer geoutet der alles auf dem Silbertablett serviert haben möchte denn meinen Link hast du noch nie angeschaut obwohl er bereits auf der ersten Seite des Threads erwähnt wird. Ziemlich schwach.
    Natürlich macht formatieren einen Haufen Arbeit aber es wäre gar nicht nötig wenn du vorher nachgedacht hättest und dir nicht Dateien aus zweifelhaften Quellen gesaugt hättest.
    Spybot( in den meisten seiner Versionen) und Xabot sind typische Filesharingwürmer und durch die Dummheit( und Strafbarkeit) sich Serials und Cracks über Filesharing und Crackseiten(daher vermutlich der Dialer) zu holen kriegst du immer wieder Nachschub. Der schrottige Norton findet eh immer alles zu spät und selbst 20 Firewalls( 2 hast du ja schon*lach*)werden nicht verhindern das du immer wieder Schädlinge auf deinem Rechner finden wirst. Auch 500 Programme( selbst wenn sie alle legal lizensiert wären) schützen dich nicht solange du nicht verstehst das der größte Risikofaktor am am Web angeschlossenen Pc der User ist der davorhockt.
    Progs zum adden weiß ich noch gar viele aber die meisten braucht man gar nicht wenn man beim surfen denkt und nicht jeden Quatsch saugt oder jeden Link klickt der einem vor den Mauszeiger fällt.
    Michael hat es noch ziemlich nett ausgedrückt, normal würde der Thread jetzt gesperrt.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Zitat

    normal würde der Thread jetzt gesperrt


    das mache ich dann meistens... [Blockierte Grafik: http://www.pc-syndrom.de/modules/PNphpBB2/images/smiles/motz.gif] [Blockierte Grafik: http://www.pc-syndrom.de/modules/PNphpBB2/images/smiles/angry.gif]


    aber der chef war ja schon schneller mit antworten... [Blockierte Grafik: http://www.dooya.schildersmilies.de/shit.gif] [Blockierte Grafik: http://www.saab-cars.de/foren/saabforum/phpBB2/images/icon/icon_lachen.gif]


    so genugend gespammt für gestern... :lol:

  • Also erstens hab ich mir deinen link vor meiner letzten message angeschaut. Allerdings den Thread mit den Ports nicht gefunden.
    Zweitens bin ich nich so dumm und klicke jeden dialer oder so schrott von serials seiten an, außerdem lad ich nicht wie du meintest jeden Scheiß runter.
    Hab paar Seiten gelesen und Kazaa gerade deinstalliert. Ich will nich behaupten, dass meine Viren nicht auch über kazaa gekommen sein könnten -> deinstalliert ab jetzt.
    Frage: Was is an Firewalls auszusetzen? Zeigen mir jede eingehende und ausgehende Verbindung an.
    Norton hat im Gegensatz zu Antivir noch 80 Files, die allerdings unbedeutend waren, gefunden. Von den aufgeführten Programmen sind alle legal.
    Ich will nicht meinen, dass ich mehr als Leute, die zB beruflich mit Computern arbeiten, verstehe aber ganz blöde bin ich nun auch nich.
    * (zum teil auch trial in vollver mit serials umgewandelt...)* - Möchte ich mich entschuldigen, hab ich in dem Zusammenhang wohl vergessen. Allerdings würd ich mich nicht gern mit dem letzten Thread mit euch verstreiten, da ihr mir sehr freundlich und höflich geholfen habt.

  • Zitat

    Zeigen mir jede eingehende und ausgehende Verbindung an


    aber nur von gewisse ports...
    und diese ports werden meistens nicht benutzt von agressive dialer & trojaner... und ich kenne keinen hacker der die ports benutzt...
    kiddies die mal stur sein möchten vielleicht... ;)
    aber falls du mal lusst hast, lese/stöbere doch mal etwas bei http://www.rokop-security.de/
    die leute haben ahnung und wiederstehen immer noch der werbelobby von grosse virenscanner-hersteller...


    Zitat

    Norton hat im Gegensatz zu Antivir noch 80 Files


    norton antivirus benutzt sehr schwache signaturen, die sehr viel durchlassen...
    antivir ist unter den freeware virenscanner was norton für die bezahlte varianten ist... das meist benutzte, aber auch das schwachste programm...



    gruss...



    franky...

  • hi...



    schrot ist hier ein starke aussage...
    die sind eher schwach, aber bieten bei benutzung vom gehirn meistens genugend abhilfe... obwohl "gediegen scanner" immer noch was finden...


    ich persöhnlich benutze avk2004...


    aber am beste folgst du mal den link in mein vorheriger post...
    da lauft gerade wieder ein virenscanner-testserie und diesmal sind die freeware scanner von der partie... und wie schon geschrieben die leute wissen was sie schreiben, weil die beschäftigen sich nur mit "eindringlinge"... diese seite ist wirklich ein gute empfehlung...
    durch der arbeit an unsere andere seite, könnte ich im letzten zeit aber nicht soviel lesen bei rokop-security... :(


    ich bin aber der meinung das ein virenscanner ruhig was kosten darf...



    gruss...




    franky...

  • Ich hab Schrott auch im Vergleich zu anderen gemeint.
    Bin grad auf Rokop un les mir da so einiges durch guter Tipp danke.
    Hab wieder was rausgefunden. Spybot hat bei mir nen Hijack gefunden war aber wegen irgendwas überflüssig ein eintrag gelöscht un er findet nix mehr.


    Für Leute die in ihrem Spybot auch dieses Ding kriegen:


    Possible extension Hijack:
    in der Registry in: HKEY_CLASSES_ROOT\scrfile\shell\open\was mit command\(komische zeichen)


    Einfach den command ordner löschen (der anch open), dann dürfte Spybot nichts mehr finden.


    Ich übernehme keine Garantie, dass es stimmt aber bei mir war es so.
    Tipp bei Google den Registiry-eintrag suchen dürfte man auch was finden.

  • Moin.
    Ich schalt mal nen Gang zurück, hab gestern ziemlich aufgedreht.
    Irgendwas scheint mit meinem Signaturlink nich zu stimmen, der geht grad ins Leere. Deshalb auf die Schnelle der Link zum Port schließen: http://www.ntsvcfg.de/kss_xp/kss_xp.html
    Den ursprünlichen Post den ich verfaßt hab( den in meiner Sig hatte Michael überarbeitet) gibts hier: http://www.xp-tipps-tricks.de/PNphpBB2-viewtopic-t-2499.html
    Firewalls zeigen viel an aber nicht alles und verschiedene Anzeigen sind einfach überflüssig. Dazu steht aber auch in meinem Link noch mehr(interessant das du nachfragst wo du doch meinen Link schon gelesen haben willst*grins*).
    80 Files hat Norton gefunden, ist ne Menge. Übrigens kenne ich die Geschichte auch andersrum - erst Norton draufgehabt, dann Antivir und Antivir fand über 30 Schädlinge( war ein User aus nem anderen Board).
    Zu Virenscannern hab ich auch nen Absatz in meinem Link falls es wen interessiert.
    Auch ich verstehe nicht soviel von Computern wie Leute die beruflich damit arbeiten das seh ich hier täglich im Forum*schmunzel*.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!