Programme lassen sich nicht öffnen

neuer hijack scan

Logfile of HijackThis v1.98.0
Scan saved at 14:25:14, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\RCrawler\RCrawler.exe
D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
D:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe
C:\WINDOWS\DitExp.exe
D:\Programme\ZoneAlarm\zlclient.exe
D:\Programme\Papa's Prog\TuneUp Utilities\MemOptimizer.exe
D:\Programme\a2\a2guard.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Kaspersky Anti-Hacker\KAVPF.exe
D:\Programme\Xerox\ControlCentre 2.0\Pagis\Monitor.exe
D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.4\Desktopprogramm ver.1.4.exe
D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
D:\Programme\VB6-Projekte\Kräftigungswecker\Mit Papa\Programmcodes\KPlan.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Hijack 1.98\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O1 - Hosts: die von Microsoft TCP/IP
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Registry Crawler] D:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKLM\..\Run: [InstantAccess] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [ControlCentreTray] "D:\Programme\Xerox\ControlCentre 2.0\XWCTray.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] D:\PROGRA~1\Xerox\CONTRO~1.0\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\Papa's Prog\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [a²] "D:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ\ICQ 4.0\ICQLite.exe -trayboot
O4 - Startup: Desktopprogramm ver.1.4.lnk = D:\Programme\VB6-Projekte\DesktopProjekt\Programm\Version 1.4\Desktopprogramm ver.1.4.exe
O4 - Startup: ICQ 4.0.lnk = D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
O4 - Startup: Kräftigungswecker.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Pagis-Zeitplan-Monitor.lnk = D:\Programme\Xerox\ControlCentre 2.0\Pagis\Monitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\http://GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\http://GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\http://GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\http://GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQ 4.0\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5C…b?1089322130125
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.…g/GoogleNav.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.161 194.25.2.129

Zitat von Tag auch

Da ich auf meine um die 20 Suchen im google keine einzige genaue Beschreibung (geschweige denn Andeutung) dieses Wurms gefunden hab,

5. Google-Link: http://www.rz.uni-karlsruhe.de/rz/sec/virus/Xabot.html
http://www.google.com/search?q=xabot…-8&oe=utf-8
:brille:
Den:
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
kannste auch löschen, der funktioniert nicht mehr( File missing).

hyrican

Also ich hätte da ma ne Frage wie kann ich ausfindig machen, welcher Virus welche Dateien in welches Verzeichnis kopiert. Ich hab nämlich noch 3 andere Dateien gefunden, da wo der Xabot welche hin hat (zB Hidden & Dangerous 2 NO CD Crack.exe, Deus Ex Invisible War NO CD Crack.exe, Counter-Strike Condition Zero Keygen.exe) die aber nich von ihm sind.

indem du die fragwürdigen Dateien mal in Google eintippst. Für Counter-Strike Condition Zero Keygen.exe zum Beispiel spuckt Google den hier aus: http://uk.mcafee.com/virusInfo/defa…;virus_k=101070

hyrican

Die angegebenen Dateien waren doch von Xabot wurde bloß von Symante nich angezeigt. Allerdings funzt des "Taskmgr.com" immer noch (bzw. regedit.com)

Was soll ich bloß machen???

Zitat

Allerdings funzt des "Taskmgr.com" immer noch (bzw. regedit.com)

Das sind eigentliche keine .com Dateien sondern haben die Endung .exe
Taskmgr.exe in Windows/System32
regedit.exe im Windowsordner

Hast du die Seite überhaupt gelesen die von Hyrican verlinkt wurde.
Da stehen doch einige Ansätze drin.

So z.B.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

Möglicherweise stehen deine Progs da aufgelistet.
Lösche den Schlüssel DisallowRun wenn er da ist.

Aber auf eigene Gefahr :wink:

Hier nochmal der Link:
http://www.rz.uni-karlsruhe.de/rz/sec/virus/Xabot.html

Eine weitere Massnahme wäre die Systemwiederherstellung zu bemühen und einen Wiederherstellungspunkt vor der Infizierung auszuwählen.
Seitdem installierte Software musst du dann natürlich erneut installieren.
Was aber wohl ein kleineres Übel ist.

michael
ich weiß nich obs in dem forum war auf jeden Fall hab ich gelesen, dass wenn man Taskmgr/regedit anstatt exe in com umwandelt un die dann ordnungsgemäß funzen, dann hat man viren/würmer/schrott.. drauf.

Ich bin derweil auf wat Neues gestoßen "dir0 012345" dieser Wert wird in einem Eintrag in der Registry vom W32.Spybot gesetzt, allerdings auch von min 3-X (X=unbekannt) auch. D. h. ich hab in den manual removal anleitungen immer nur ein paar einträge gefunden aber nie den vollen virus von der anleitung. Jmd. ne Idee wie ich den echten entdecke?

Wie wäre es denn wenn du dir den Link in meiner Sig nochmal in Ruhe durchliest, die Anleitung zum Port schließen ausdruckst, dir einen ordentlichen Virenscanner kaufst, formatierst und neu aufsetzt, die Ports schließt, dann erst online gehst und dir die Updates für Windows und dein Antivirusprogramm ziehst. Dann solltest du alle deine Paßwörter ändern und darüber nachdenken ob Filesharing sinnvoll ist weil du dir ja offensichtlich immer wieder Schädlinge einfängst.
Es bringt nix Würmer zu entfernen wenn du immer wieder Nachschub ziehst, du mußt das Übel an der Wurzel packen und das ist dein Sicherheitskonzept. Erst dann macht es Sinn denn sonst wird der Thread hier 20 Seiten lang und die Lösung für das letzte Problem ist dieselbe wie für das erste.

hyrican

Kannst du mir ma nen Link zum port schliessen schicken plz? -> thx

Natürlich hab ich an formatieren gedacht, mein einziges Zögern beim formatieren war immer/immer noch, dass ich bestimmt 200 Programme (zum teil auch trial in vollver mit serials umgewandelt...) hab die ich nie mehr so hinkrieg wie sie jetzt sin un laufen und eigentlich hab ich auch keine zeit dafür, denn bis ich alles so hab wie jetzt dauert des bestimmt ne woche!!! Da probier ich lieber Würmer umständlich zu entfernen aber trotzdem danke, dass du mir helfen wolltest.

Wie meinst du des, dass ich immer nachschub ziehe?

Noch ne Frage weiß noch jmd ein Prog zum adden, biss jetzt hab ich drauf:

-Norton evtl. muss schauen ob ich die vollver. krieg, ansonsten AntiVir
-Ad-Aware (ein Muss)
-Spybot S&D
-Spyware Blaster
-ZoneAlarm (free)
-Kaspersky Anti-Hacker
-a²
-Hijack This (natürlich)

-Browser versuch ich grad mein Denken vom IE auf Mozilla umzustellen
-mit Security Task Manager überwach ich Prozesse

Mehr fällt mir grad nich ein

Danek für euer bisheriges Bemühen :lol:

Zitat

zum teil auch trial in vollver mit serials umgewandelt...)

Tue dir und uns einen Gefallen und spare dir hier solche Informationen.
Lies dir die Forenregeln durch und halte dich daran.

Wieviel Links willst du denn noch? In jedem meiner Posts wird meine Signatur angehängt(unter dem Querstrich) und in dieser ist ein Link( allgemeine Tips zur Systemsicherheit) der zu einem Thread führt wo wieder ne Menge Links drinstehen unter anderem der zum Port schließen. Du hast dich somit eben als einer geoutet der alles auf dem Silbertablett serviert haben möchte denn meinen Link hast du noch nie angeschaut obwohl er bereits auf der ersten Seite des Threads erwähnt wird. Ziemlich schwach.
Natürlich macht formatieren einen Haufen Arbeit aber es wäre gar nicht nötig wenn du vorher nachgedacht hättest und dir nicht Dateien aus zweifelhaften Quellen gesaugt hättest.
Spybot( in den meisten seiner Versionen) und Xabot sind typische Filesharingwürmer und durch die Dummheit( und Strafbarkeit) sich Serials und Cracks über Filesharing und Crackseiten(daher vermutlich der Dialer) zu holen kriegst du immer wieder Nachschub. Der schrottige Norton findet eh immer alles zu spät und selbst 20 Firewalls( 2 hast du ja schon*lach*)werden nicht verhindern das du immer wieder Schädlinge auf deinem Rechner finden wirst. Auch 500 Programme( selbst wenn sie alle legal lizensiert wären) schützen dich nicht solange du nicht verstehst das der größte Risikofaktor am am Web angeschlossenen Pc der User ist der davorhockt.
Progs zum adden weiß ich noch gar viele aber die meisten braucht man gar nicht wenn man beim surfen denkt und nicht jeden Quatsch saugt oder jeden Link klickt der einem vor den Mauszeiger fällt.
Michael hat es noch ziemlich nett ausgedrückt, normal würde der Thread jetzt gesperrt.

hyrican

Zitat

normal würde der Thread jetzt gesperrt

das mache ich dann meistens... [Blockierte Grafik: http://www.pc-syndrom.de/modules/PNphpBB2/images/smiles/motz.gif] [Blockierte Grafik: http://www.pc-syndrom.de/modules/PNphpBB2/images/smiles/angry.gif]

aber der chef war ja schon schneller mit antworten... [Blockierte Grafik: http://www.dooya.schildersmilies.de/shit.gif] [Blockierte Grafik: http://www.saab-cars.de/foren/saabforum/phpBB2/images/icon/icon_lachen.gif]

so genugend gespammt für gestern... :lol:

Also erstens hab ich mir deinen link vor meiner letzten message angeschaut. Allerdings den Thread mit den Ports nicht gefunden.
Zweitens bin ich nich so dumm und klicke jeden dialer oder so schrott von serials seiten an, außerdem lad ich nicht wie du meintest jeden Scheiß runter.
Hab paar Seiten gelesen und Kazaa gerade deinstalliert. Ich will nich behaupten, dass meine Viren nicht auch über kazaa gekommen sein könnten -> deinstalliert ab jetzt.
Frage: Was is an Firewalls auszusetzen? Zeigen mir jede eingehende und ausgehende Verbindung an.
Norton hat im Gegensatz zu Antivir noch 80 Files, die allerdings unbedeutend waren, gefunden. Von den aufgeführten Programmen sind alle legal.
Ich will nicht meinen, dass ich mehr als Leute, die zB beruflich mit Computern arbeiten, verstehe aber ganz blöde bin ich nun auch nich.
* (zum teil auch trial in vollver mit serials umgewandelt...)* - Möchte ich mich entschuldigen, hab ich in dem Zusammenhang wohl vergessen. Allerdings würd ich mich nicht gern mit dem letzten Thread mit euch verstreiten, da ihr mir sehr freundlich und höflich geholfen habt.

Zitat

Zeigen mir jede eingehende und ausgehende Verbindung an

aber nur von gewisse ports...
und diese ports werden meistens nicht benutzt von agressive dialer & trojaner... und ich kenne keinen hacker der die ports benutzt...
kiddies die mal stur sein möchten vielleicht...
aber falls du mal lusst hast, lese/stöbere doch mal etwas bei http://www.rokop-security.de/
die leute haben ahnung und wiederstehen immer noch der werbelobby von grosse virenscanner-hersteller...

Zitat

Norton hat im Gegensatz zu Antivir noch 80 Files

norton antivirus benutzt sehr schwache signaturen, die sehr viel durchlassen...
antivir ist unter den freeware virenscanner was norton für die bezahlte varianten ist... das meist benutzte, aber auch das schwachste programm...

gruss...

franky...

Das meint im Klartext, dass beide "Schrott" sind. Welchen Virenscanner soll man denn dann benutzen/ist empfehlenswert?

hi...

schrot ist hier ein starke aussage...
die sind eher schwach, aber bieten bei benutzung vom gehirn meistens genugend abhilfe... obwohl "gediegen scanner" immer noch was finden...

ich persöhnlich benutze avk2004...

aber am beste folgst du mal den link in mein vorheriger post...
da lauft gerade wieder ein virenscanner-testserie und diesmal sind die freeware scanner von der partie... und wie schon geschrieben die leute wissen was sie schreiben, weil die beschäftigen sich nur mit "eindringlinge"... diese seite ist wirklich ein gute empfehlung...
durch der arbeit an unsere andere seite, könnte ich im letzten zeit aber nicht soviel lesen bei rokop-security...

ich bin aber der meinung das ein virenscanner ruhig was kosten darf...

gruss...

franky...

Ich hab Schrott auch im Vergleich zu anderen gemeint.
Bin grad auf Rokop un les mir da so einiges durch guter Tipp danke.
Hab wieder was rausgefunden. Spybot hat bei mir nen Hijack gefunden war aber wegen irgendwas überflüssig ein eintrag gelöscht un er findet nix mehr.

Für Leute die in ihrem Spybot auch dieses Ding kriegen:

Possible extension Hijack:
in der Registry in: HKEY_CLASSES_ROOT\scrfile\shell\open\was mit command\(komische zeichen)

Einfach den command ordner löschen (der anch open), dann dürfte Spybot nichts mehr finden.

Ich übernehme keine Garantie, dass es stimmt aber bei mir war es so.
Tipp bei Google den Registiry-eintrag suchen dürfte man auch was finden.

Welcher Virenscanner ist besser oder was denkst du welcher der beste ist (für mich). Antivir Personal, Norton, bei AVK gibts einen der is freeware, oder andere...

Moin.
Ich schalt mal nen Gang zurück, hab gestern ziemlich aufgedreht.
Irgendwas scheint mit meinem Signaturlink nich zu stimmen, der geht grad ins Leere. Deshalb auf die Schnelle der Link zum Port schließen: http://www.ntsvcfg.de/kss_xp/kss_xp.html
Den ursprünlichen Post den ich verfaßt hab( den in meiner Sig hatte Michael überarbeitet) gibts hier: http://www.xp-tipps-tricks.de/PNphpBB2-viewtopic-t-2499.html
Firewalls zeigen viel an aber nicht alles und verschiedene Anzeigen sind einfach überflüssig. Dazu steht aber auch in meinem Link noch mehr(interessant das du nachfragst wo du doch meinen Link schon gelesen haben willst*grins*).
80 Files hat Norton gefunden, ist ne Menge. Übrigens kenne ich die Geschichte auch andersrum - erst Norton draufgehabt, dann Antivir und Antivir fand über 30 Schädlinge( war ein User aus nem anderen Board).
Zu Virenscannern hab ich auch nen Absatz in meinem Link falls es wen interessiert.
Auch ich verstehe nicht soviel von Computern wie Leute die beruflich damit arbeiten das seh ich hier täglich im Forum*schmunzel*.

hyrican

hyrican

Zitat

Irgendwas scheint mit meinem Signaturlink nich zu stimmen

Machscht Du Linkupdate.

vom Alten...

http://www.xp-tipps-tricks.de/Sections-index…142-page-1.html

auf Neuen...

http://www.xp-tipps-tricks.de/page-114.html

dann klappts auch mit dem Klick. :lol: