HILFE!!! dauernd schaltet sich ein Bot bei mir an!!!???

  • Hallo Leute.Habe ein dickes Problem und zwar wenn ich den rechner hochfahre geht so ein Fenster auf so ähnlich wie das Dos Fenster da steht dann oben c:/windows/system32/wjserc.exe und im Fenster steht wiederrum debbuging console enabled bot started and connect to 1.xdgz.com


    Ich bekomm des gar nicht weg.Hab Adaware XP-Clean und Norton laufen lassen aber nichts.Alle paar Minuten schaltet sich des an!


    Und nebenbei noch mein Norton Antivirus fährt im Autostart nicht mehr hoch.So auf einmal.



    Wäre echt lieb wenn ich was wüsstet danke!


    Gruss.

  • Hi Karakan155,


    das sieht mir nach einem Schädling aus.
    (Hast du den richtig geschrieben?)


    Versuchen mal den berühmten Sicherheitscheck mit den Tools 2 bis 5


    Das Log, dass du mit HiJackThis anfertigen kannst, soltest du hier posten, bevor du da aktiv wirst.


    Freddie

    Damit erklären wir zu Recht das Gute zu dem, wonach alles strebt. (Aristoteles)

  • Danke.War fast richtig geschrieben habe es jetzt kurz richtig geschrieben! Ich weiss nicht mehr was ich machen soll. Antivirus klappt wieder habs neu installiert aber des Bot ding geht net weg.
    Ist das was neues wenns kein Programm auffindet?

  • Logfile of HijackThis v1.98.0
    Scan saved at 16:28:30, on 18.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\htpatch.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\snlogsvc.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    E:\Downloads\hijackthis198\HijackThis.exe
    C:\Programme\Messenger\msmsgs.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://securityresponse.symant…bin/virauto.cgi?vid=35723
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
    O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
    O4 - HKLM\..\Run: [asdferxcv] C:\WINDOWS\System32\wjserc.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
    O4 - HKLM\..\RunOnce: [Q828026] "C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP
    O4 - HKLM\..\RunOnce: [KB837272] "C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O17 - HKLM\System\CCS\Services\Tcpip\..\{504347B5-7569-487A-9107-D39CF5FDE1D9}: NameServer = 217.237.150.141 194.25.2.129

  • Tja, das sieht alles mal gar nicht so daneben aus...
    Bis auf diese wjserc.exe. Kenne ich nicht. Scheint auch Google. nicht zu kennen.


    Hast du schon mit den anderen Tools gescannt?
    Wenn nicht, dann mach das mal.


    Freddie

    Damit erklären wir zu Recht das Gute zu dem, wonach alles strebt. (Aristoteles)

  • Ja hab den scheiss gelöscht mitlerweile habe ich paar andere noch ekommen so ein jghj und jaahj. Bloddhound Packed. Norton checkt das. Irgenwo mus sich doch ein loch haben oder? Habe aber Windows voll upgedatet! Firewall hab eich abe rnicht. Könnte sein oder? Will abe rien gescheites was nicht viel ablockt wie so Download Programme oder so. Was gibts da? Oder bringts nichts?

  • Man der Fehler ist jetzt zwar weg aber jetzt kommt ein anderer Fehler und zwar das gleiche Fenster da steht c:\jaahj.exe Ich glaub ich lösch meine Festplatte bald bin am Durchdrehen!

  • Ähm, die Einträge mit snlogsvc.exe gehören auch gelöscht und danach die Datei manuell löschen. Genau dasselbe natürlich mit deiner jaahj.exe machen. Hinterher nochmal ein Hijack-Log posten.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Logfile of HijackThis v1.98.0
    Scan saved at 23:24:14, on 19.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\htpatch.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\winread.exe
    C:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
    C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Messenger\msmsgs.exe
    E:\Downloads\hijackthis198\HijackThis.exe


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [Services] C:\winread.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NEOLEC\Neolec Crystal Mouse\MOUSE32A.EXE
    O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\NEOLEC\Neolec Wireless Desktop\KbdAp32A.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O17 - HKLM\System\CCS\Services\Tcpip\..\{504347B5-7569-487A-9107-D39CF5FDE1D9}: NameServer = 217.237.150.141 194.25.2.129

  • Danke für die Hilfe. Naja die Bots sind zum Glück vorerstmal weg aber irgendwie will ab und zu ein Programm dauernd eine Email abschicken. Norton blockt es ab dauernd mit 3 Fehlermeldungen ab danach muss ich internetverbindung abbrechen und neu starten dann läuft alles wieder. Kein Programm findet etwas. Schon schwach für solche Spyware Programme.

  • Kein Programm ist perfekt. Was blockt Norton denn da ab?


    P.S. Ne PN schicken is überflüssig, ich krieg sowieso ne Benachrichtigungsmail bei Antworten in den Threads wo ich gepostet hab*schmunzel*.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • Cool. Naja das Problem hat sich bis jetzt nicht mehr gezeigt.Habe bei Software ein Toolbar Programm deinstalliert.Weis sgar net wo der herkommt. Naja scheisse jetzt komm ich gar nicht ins Forum.Als Gast ja aber wenn ich mich einlogge dann kommt am Forum nur ein weisser Explorer.

  • Meinst du die Google-Toolbar? Die installiert sich nicht von selber, mußt du wohl irgendwann mal auf der Google-Seite angeklickt haben.
    Zu deinem Forum-Problem fällt mir außer Cookies und temporäre Dateien löschen nix ein. Kannst es auch mal mit einem anderen Browser versuchen( Opera, Mozilla, Firefox), die sind eh sicherer als der IE.


    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

  • mhhh lol ich hab das allerselbe abfuck problem ... wenn ich mein win starte kommt das dos fenster und wenn ich inet start kommt automatisch eine seite darkwarez also ohne das ich den explorer starte ich kann auch kein tastmanager mehr öffnen er geht auf und dann sofort wieder zu wie hast du es denn nun gemacxht karakan

  • Hallo.


    Ich glaube, bei Planetopia haben die das letztens Startseiten-Kidnapping genannt (und damit wieder ein hohes Maß an Fantasie bewiesen :D )


    Du hast gute Chancen, das Problem zu beheben, wenn du die Sicherheitstools, die in diesem Thread genannt werden, mal drüberlaufen läßt. Vielleicht reicht schon HIJackThis.


    Freddie

    Damit erklären wir zu Recht das Gute zu dem, wonach alles strebt. (Aristoteles)