Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Seltsame Prozesse

Doppelwhopper / 31 Antworten / Baumansicht Nickles

Hallo,
habe seit gestern 4 teilweise 5 merkwürdige Prozesse auf meinem Rechner. als Beispiel : 80exgmi.7.exe
Die anderen sehen ähnlich aus und versuchen permanent auf`s Internet zuzugreifen????
Virenscan und Spywarescan haben keine Ergebnisse gebracht.
Alls sitzen in:
C:Dokumente und Einstellung/User/Lokale Einstellungen/Temp

Windows kann diese Dienste auch nicht beenden beim herunterfahren, der Logoff Bildschirm friert ein.
Betriebssystem: Windows XP-Professional

Hat da jemand eine Idee?????

Vielen Dank

bei Antwort benachrichtigen
Marcel39 Doppelwhopper „Seltsame Prozesse“
Optionen

Hi,

von http://www.merijn.org/ Hijackthis downloaden. Das listet alle laufenden Prozesse in einem Logfile auf (oberste Option), das dann auf www.hijackthis.de upgeloadet werden sollte. Dort werden alle Prozesse mit einer Datenbank verglichen und analysiert. Das meiste ist harmlos oder gar notwendig, sollte was bösartiges dabeisein wird es in aller Regel erkannt. Dann können weitere Schritte eingeleitet werden.

Gruss
Marcel

bei Antwort benachrichtigen
GarfTermy Doppelwhopper „Seltsame Prozesse“
Optionen

...dort kannst du alle dateien löschen.

wenn eine unbekannte datei/process aktiv ist, dann würde ich den rechner als kompromittiert betrachten - zumal die datei im internet nicht bekannt zu sein scheint.

format/neuinstall löst das problem.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
shrek3 GarfTermy „...dort kannst du alle dateien löschen. wenn eine unbekannte datei/process...“
Optionen

Hallo Doppelwhopper,

zur 80exgmi7.exe hat Google 1 Ergebnis ausgespuckt.

http://www.google.de/search?hl=de&q=80exgmi.7.exe&btnG=Suche&meta=lr%3D

Da der Link auf eine englischsprachige Seite verweist, kannst du dir dies ja mal von Google übersetzen lassen.

Diese Datei ist jedenfalls erst vor sehr kurzem entdeckt worden (12.04.) und es sind noch keine großartigen Details darüber bekannt.

Schwierige Frage - wenn du den Tempordner nicht einfach leeren kannst, ist eine Neuinstallation der sicherste Weg.
Sichere vorher aber bei abgeklemmten Netzwerkkabel (oder WLAN-Stick) deine Dateien.

Gruß
Shrek3


Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
RENTTiS shrek3 „Hallo Doppelwhopper, zur 80exgmi7.exe hat Google 1 Ergebnis ausgespuckt....“
Optionen

Boote via DOS, dann solltest du unter DOS die Dateien löschen können. Hast du eine NTFS Platte, hilft die ein Tool weiter, damit du auf DOS Lese- und Schreibrechte hast. Problem hatte ich letzte Woche auch :( Allerdings andere verseuchte EXE-Files im Temp-Ordner.....Unter Windows kann man diese Files nicht löschen, da sie Schreibgeschützt sind und von WIndows "blockiert" werden.

RENTTiS WoRLD - http://renttis.junetz.de
bei Antwort benachrichtigen
chrissv2 GarfTermy „...dort kannst du alle dateien löschen. wenn eine unbekannte datei/process...“
Optionen
wenn eine unbekannte datei/process aktiv ist, dann würde ich den rechner als kompromittiert betrachten

format/neuinstall löst das problem.

als erstes würde ich ja mal raus finden wozu der Prozess gehört, damit man nich vollkommen unnötig formatiert nur weil sich irgend eine Freeware als Autostart einträgt.....


ansonsten hört sich das aber schon stark nach virus/trojaner an...

----> Online-Virenscan , Spybot , msconfig , Hijackthis

mfg
chris
bei Antwort benachrichtigen
shrek3 chrissv2 „ als erstes würde ich ja mal raus finden wozu der Prozess gehört, damit man...“
Optionen

Hallo Doppelwhopper,

wie heißen denn die anderen Prozesse?
Müssen ja nicht ebenfalls nahezu unbekannt sein.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
GarfTermy chrissv2 „ als erstes würde ich ja mal raus finden wozu der Prozess gehört, damit man...“
Optionen

"...als erstes würde ich ja mal raus finden wozu der Prozess gehört,..."

gute idee... aber...

bekannte prozesse findest du im internet, unbekannte sind mindestens verdächtig.

ein rechner, auf dem unbekannte prozesse laufen [achtung: anwendung wird ausgeführt...] ist bereits kompromittiert. es ist nicht bekannt - und für einen laien auch nicht verifizierbar - was die anwendung zb aus dem internet nachgeladen hat, oder welche infos bereits vom rechner ausgelesen wurden.

langes suchen behebt das problem NICHT - den kompromittierten rechner.

daher ist dein tipp grob fahrlässig und fachlich nicht haltbar.

rechner vom netz trennen. DAS ist die erste maßnahme. format/neuinstall die nächsten schritte.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
chrissv2 GarfTermy „ ...als erstes würde ich ja mal raus finden wozu der Prozess gehört,... gute...“
Optionen
unbekannte sind mindestens verdächtig.

Was heißt denn bei dir unbekannt?

Ein zu Nero gehörender Prozess war mit zb unbekannt und der ließ sich im Netz auch nicht so einfach finden.
Nach neuinstall und Nero Installation wär der unbekannte Prozess wieder drauf gewesen, hätte ich dann nochmal neuinstallieren sollen, da der unbekannte Prozess wieder da gewesen wäre? tztztz


Aber das es sich bei den 4 bis 5 Prozessen des Threadstarters höchstwahrscheinlich um Viren/Trojaner etc handelt sind wir uns wohl einig.

Und noch n Tipp: Wenn dein Papierkorb voll ist, einfach Rechtsklick "Papierkorb leeren". Da kannst du dir schon einige Neuinstallationen bzw zurückspielen des Images ersparen ;-)

mfg
chris



bei Antwort benachrichtigen
GarfTermy chrissv2 „ Was heißt denn bei dir unbekannt? Ein zu Nero gehörender Prozess war mit zb...“
Optionen

chrissv2...

du hast den kleinen unterschied noch nicht ganz verstanden - oder?

die verdächtige anwendung ist aktiv im rechner - kann also in aller ruhe schaden anrichten, tastatureingaben speichern und weitergeben, passwörter kompromittieren, und so weiter und so fort.

das kann man durch leeren des papierkorbs nicht stoppen.

"...Was heißt denn bei dir unbekannt? ..."

es ist nichts über den prozess zu finden, oder es ist nichts zu finden, was ihn als vertauenswürdig klassifizieren würde.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Doppelwhopper GarfTermy „chrissv2... du hast den kleinen unterschied noch nicht ganz verstanden - oder?...“
Optionen

So liebe Gemeinde,
bevor ihr euch noch zu zanken anfangt.....hier mal meine neuesten Erkenntnisse.

Sehr ernüchternd:-(

Es sieht nach einigen versuchen so aus:

Der Trojaner Ist: Trojan-Proxy.Win32.Horst.xx
Sobald F-Secure ihn gelöcht hat kommt er mit neuer Endung wieder.
ER ist nirgendwo aufzufinden und er generiert diese ganzen exe-Dateien die dann den gleichlautenden Prozess starten.
Bei geöffnetem Task-Manager lassen siech die Prozesse dann doch beenden.

Allerdings ist es doch ein richtiger Fiesling, msconfig lässt sich nicht ausführen, dort könnte man ja den Autostart beeinflussen.
Aber es kommt noch besser......er ist auch im abgesicherten Modus aktiv, denn dort fällt msconfig ebenso aus wie eine Systemwiederherstellung.

Ebenso startet er die iexplorer.exe ohne das sich der internet Explorer öffnet.......:-((((
Vielleicht hilft ja der zusätzlich Input:-))


Freu mich schon auf euer Antworten

bei Antwort benachrichtigen
GarfTermy Doppelwhopper „So liebe Gemeinde, bevor ihr euch noch zu zanken anfangt.....hier mal meine...“
Optionen

"...Der Trojaner Ist: Trojan-Proxy.Win32.Horst.xx
Sobald F-Secure ihn gelöcht hat kommt er mit neuer Endung wieder...."

eigene daten sichern - formatieren - von originalen datenträgern neu installieren - ich schätze, du hast kein image mit ghost/acronis gemacht?

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
shrek3 GarfTermy „ ...Der Trojaner Ist: Trojan-Proxy.Win32.Horst.xx Sobald F-Secure ihn gelöcht...“
Optionen

Hallo Doppelwhopper,

Entfernungsprozeduren (sofern es sie gibt) erfordern eine hohe Bereitschaft, sich auf die oft komplizierten Vorgehensweisen einzulassen.
Das Trojaner-Board ist voll von Leuten, denen die aufwändigen Prozeduren zu viel waren, sich deshalb einen Teil davon schenken wollten - und anschließend wieder von vorn anfangen mussten.
Und auch, wenn man sich von A-Z daran hält, weiß man oft erst nach ein paar Wochen, ob die Aktion erfolgreich war.

Doch wenn du dir eine Neuinstallation zutraust (oder bezahlen kannst), solltest du dies meiner Meinung nach eindeutig vorziehen.

Einigermaßen empfehlen kann ich eine Reinigungsprozedur nur dann, wenn die Entfernungsroutine überschaubar und schon länger erprobt ist. Doch auch hier bleibt ein Restrisiko, dass neue Modifikationen des Schädlings diesen Prozess überleben.
Am ehesten ginge dies noch bei Schädlingen, die sich auffällig verhalten (wie z.B. den IE starten). Da weiß man mit einiger Sicherheit, ob man ihn los geworden ist oder nicht (im Gegensatz zu den "leisen" Vertretern, die nur auf ihren großen Auftritt warten, wie z.B. die TAN-Nummer beim Online-Banking abzugreifen).

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Doppelwhopper shrek3 „Hallo Doppelwhopper, Entfernungsprozeduren sofern es sie gibt erfordern eine...“
Optionen

Also:-)))))))
die aufwendige Prozedur der Bereinigung hat sich auf jedenfall gelohnt.......mein Schätzchen ist wieder clean:-)))))
Zur Vorgehensweise:

Im abgesicherten Modus (mit Netzwerktreibern) Habe ich auf Panda einen Onlinescan durchgerführt, das Protokoll gespeichert und mich an die Arbeit gemacht.
Die wesentlichen Störenfriede waren:
Gold-factory Toolbar\gold-factory.dll in C:\ Programme
Adware/888Bar in C:\Gemeinsame Dateien\
Adware Zango in C:\Programme\Mozilla Thunderbird\plugins\npclntax.dll

Ließen sich alle im A-Modus beseitigen, anschliessend noch die Registry ausgemistet.......und nu bin ich wieder fröhlich:-)))

bei Antwort benachrichtigen
shrek3 Doppelwhopper „Also:- die aufwendige Prozedur der Bereinigung hat sich auf jedenfall...“
Optionen

Hallo Doppelwhopper,

du klingst mir zu euphorisch angesichts von Prozess(en), die zumindest teilweise bisher unbekannt sind.
Jubiliert haben viele schon; doch ein paar Tage später ging deren Theater von Neuem los.

Für dich hat meiner Meinung nach bestenfalls die mehrwöchige Testphase begonnen.
Nichtsdestoweniger wünsche ich dir viel Glück damit.
Halte uns mal auf dem Laufenden.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Doppelwhopper shrek3 „Hallo Doppelwhopper, du klingst mir zu euphorisch angesichts von Prozess en ,...“
Optionen

Hallo Shrek,

nun lebt man nicht auch von der Euphorie:-)))

Die Prozesse wurden ja durch den Trojaner der sich in der Gold-factory getarnt hat generiert um aufs Internet zuzugreifen.
Blieb aber an der Firewall hängen da ich ja logischerweise den zugriff Abgelehnt habe.
Mit jeder Ablehnung hat er dann gleich eine neue .exe generiert. Natürlich blieb die alte auch in den Prozessen hängen:-(
Bin jetzt ca. 24 Stunden ohne Auffälligkeiten im Rennen. Wohl achtend und genaues Auge auf den geöffneten Task-Manager und das entsprechende Temp-Verzeichnis.

Werde sicher auch weiterhin über meinen Erfolg , oder wie du denkst Teilerfolg berichten:-))

Hoffe natürlich auch das du dich irrst......aber man weiß ja nie;-)

Gruß
Doppelwhopper

bei Antwort benachrichtigen
GarfTermy Doppelwhopper „Hallo Shrek, nun lebt man nicht auch von der Euphorie:- Die Prozesse wurden ja...“
Optionen

...und so haben wir eine potentielle wurmschleuder mehr im netz - weil der benutzer unfähig ist mit GEEIGNETEN maßnahmen die kiste zu säubern.

vielleicht nimmst du ja auch traubenzucker gegen beulenpest. ...haupsache ein gutes gefühl.



;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Doppelwhopper GarfTermy „...und so haben wir eine potentielle wurmschleuder mehr im netz - weil der...“
Optionen

Hallo garftermy......

......also wenn du in allem nur die Formatierung als Allheilmittel siehst tuts mir leid.
Mag sein das die Fragestellung ein weing Laienhaft rüberkam. Aber meine Kenntnisse sind also schon so weit das ich beurteilen
kann wann ein Neuinstallation erforderlich ist.
Wollte eigentlich mehr erreichen ob jemand Erfahrung mit diesem Trojaner hat um mir das ellenlange suchen zu ersparen;-)

Nun ja wie bereits oben erwähnt halte ich hier auf dem laufenden.......und NEIN ich nehme kein Traubenzucker gegen Beulenpest;-)



bei Antwort benachrichtigen
GarfTermy Doppelwhopper „Hallo garftermy...... ......also wenn du in allem nur die Formatierung als...“
Optionen

".........also wenn du in allem nur die Formatierung als Allheilmittel siehst tuts mir leid...."

na wenn du meinst....

die meisten sind vor dem schaden so wie du, die anderen sind klug. ...nach dem schaden, der dir noch bevorsteht.



EOD

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
shrek3 Doppelwhopper „Hallo Shrek, nun lebt man nicht auch von der Euphorie:- Die Prozesse wurden ja...“
Optionen

Nun ja - ich wollte dich hauptsächlich davor warnen, die Ernte als eingefahren zu betrachten.
Viel Glück!

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
GarfTermy shrek3 „Nun ja - ich wollte dich hauptsächlich davor warnen, die Ernte als eingefahren...“
Optionen

...@shrek3

deine warnung war nicht sonderlich deutlich. nun siehst du das ergebnis: eine wurmschleuder bleibt, was sie ist - eine wurmschleuder.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
shrek3 GarfTermy „...@shrek3 deine warnung war nicht sonderlich deutlich. nun siehst du das...“
Optionen

@ garftermy

eine wurmschleuder bleibt, was sie ist - eine wurmschleuder
Wir wissen nicht, ob er noch Würmer hat oder nicht.
Also sollten wir doch besser nicht so tun, als wüssten wir etwas anderes.

deine warnung war nicht sonderlich deutlich. nun siehst du das ergebnis
Du stellst einen unmittelbaren Zusammenhang zwischen meiner Warnung und Doppelwhoppers Handeln her?
Abgesehen davon, dass du Doppelwhopper unterstellst, keinen eigenen Plan gehabt zu haben, überschätzt du deutlich meine Einflussmöglichkeiten.

Die Prozesse wurden ja durch den Trojaner der sich in der Gold-factory getarnt hat generiert um aufs Internet zuzugreifen. Blieb aber an der Firewall hängen da ich ja logischerweise den zugriff Abgelehnt habe

Interessant: Ohne Desktopfirewall wäre Doppelwhopper erst gar nicht auf seine Schädlinge aufmerksam geworden und somit zu 100% eine Wurmschleuder nicht nur geworden, sondern auch erst mal geblieben.
Und die Firewall wurde auch nicht von diesen Prozessen umgangen.

Übrigens (da du ja Usern, die hinter einem Router sitzen, von einer Desktopfirewall abrätst):
Zu wieviel Dreckschleudern hat genau diese Empfehlung beigetragen?
Ich stelle mir nur mal vor, Doppelwhopper wäre früher schon einmal hier bei Nickles gewesen und hätte aufgrund deiner Infos seine Desktopfirewall deinstalliert. Er hätte von diesem Wurm nichts bemerkt...

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
GarfTermy shrek3 „@ garftermy Wir wissen nicht, ob er noch Würmer hat oder nicht. Also sollten...“
Optionen

...ne shrek3 - du WILLST es nicht verstehen.

die unbegründete angst vor einer neuinstallation treibt auch bei dir blüten jeder farbe.

EOD

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Doppelwhopper shrek3 „@ garftermy Wir wissen nicht, ob er noch Würmer hat oder nicht. Also sollten...“
Optionen

Hi Shrek.......danke du sprichst mir aus der Seele,

zur weiteren Info habe ich eine Harwarefirewall (ROUTER, kein W-Lan) sowie DESKTOPFIREWALL.
Schade eigentlich das sich meine Einstellung bestätigt und ich ansonsten nicht an Foren teilnehmne. Hatte mich angemeldet in der Hoffnung das doch etwas mehr fundierte Kenntnisse also Neuaufsetzen rüberkommt.

Habe jetzt eben mal ein Logfile ersellt, das werde ich dann mal hier einfügen, vielleicht kommt garftemy dann auch zur Erkenntnis das man nicht zu früh aufgeben sollte.
Zudem bin ich bei Netcologne....das heisst bei dem leisesten Verdacht kappen sie sofort die Leitung.
Diese schmerzliche Erfahrung dürfte ich bereits in meinen Anfängen machen als auch ich noch glaubte ein Leben OHNE DESKTOPFIREWALL wäre möglich.
Freigeschaltet wird dann auch erst wieder nach Vorlage einer Fachbescheinigung das die Infektion beseitigt ist.
Soviel zum Thema Wurmschleider!!!!!!!! Wenn dem so wäre könnte ich jetzt gar nicht posten;-)

So hier das Logfile:



Logfile of HijackThis v1.99.1
Scan saved at 12:41:15, on 22.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\Programme\F-Secure Internet Securety\Anti-Virus\fsgk32st.exe
D:\Programme\F-Secure Internet Securety\Anti-Virus\FSGK32.EXE
D:\Programme\F-Secure Internet Securety\backweb\4476822\program\fsbwsys.exe
D:\Programme\F-Secure Internet Securety\Common\FSMA32.EXE
D:\Programme\F-Secure Internet Securety\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
D:\Programme\F-Secure Internet Securety\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\F-Secure Internet Securety\Common\FCH32.EXE
D:\Programme\F-Secure Internet Securety\Anti-Virus\fsqh.exe
D:\Programme\F-Secure Internet Securety\Common\FAMEH32.EXE
D:\Programme\F-Secure Internet Securety\Anti-Virus\fsrw.exe
D:\Programme\F-Secure Internet Securety\FSPC\fspc.exe
D:\Programme\F-Secure Internet Securety\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\F-Secure Internet Securety\Anti-Virus\fsav32.exe
D:\Programme\F-Secure Internet Securety\Common\FSM32.EXE
D:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
D:\Programme\Sysmetrix\SysMetrix.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\F-Secure Internet Securety\FSGUI\fsguidll.exe
D:\Programme\Office 2003\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\F-Secure Internet Securety\backweb\4476822\Program\fspex.exe
D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Biet-O-Matic\Biet-O-Matic.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\javaw.exe
C:\WINDOWS\system32\javaw.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Doppelwhopper\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\PC-Specials\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP00560 - {424A466C-72E5-443e-BEA8-B372B28F395F} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\OFFICE~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: XBTP06575 - {B814DEE4-49A2-4958-B204-F3B17279B663} - (no file)
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - d:\programme\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [F-Secure Manager] "D:\Programme\F-Secure Internet Securety\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\Programme\F-Secure Internet Securety\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "D:\Programme\F-Secure Internet Securety\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [MOD] d:\programme\microangelo\muamgr.exe
O4 - HKLM\..\Run: [SysMetrix] D:\Programme\Sysmetrix\SysMetrix.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Office 2003\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Yahoo! Widget Engine.lnk = D:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: F-Secure 2006.lnk = D:\Programme\F-Secure Internet Securety\backweb\4476822\Program\fspex.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Dieses Popup &blockieren - D:\Programme\F-Secure Internet Securety\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Programme\F-Secure Internet Securety\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Programme\F-Secure Internet Securety\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Programme\F-Secure Internet Securety\FSPC\fspcmsie.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Programme\F-Secure Internet Securety\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Programme\F-Secure Internet Securety\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\Office12\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM-Messenger\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\OFFICE~1\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrvc32 - winrvc32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\Programme\F-Secure Internet Securety\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - D:\Programme\F-Secure Internet Securety\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Programme\F-Secure Internet Securety\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - D:\Programme\F-Secure Internet Securety\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - D:\Programme\F-Secure Internet Securety\Common\FSMA32.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware-Sandra\SiSoftware Sandra Engineer 2007\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware-Sandra\SiSoftware Sandra Engineer 2007\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe



Auch dir ein Hallo Garfttermy.....sollte dir der ein oder andere Prozess, Service oder Dienst unbekannt sein......ich helfe dir gern weiter:-))


Wäre schön etwas mehr Sachlichkeit und Fachlichkeit in dieses Forum zubringen ohne gleich grundlos angegriffen zu werden.
Bin schon gespannt was jetzt noch kommt.

Schöne Grüße vom Doppelwhopper:-))

bei Antwort benachrichtigen
GarfTermy Doppelwhopper „Hi Shrek.......danke du sprichst mir aus der Seele, zur weiteren Info habe ich...“
Optionen

für meine lieben unbelehrbaren:

http://www.oschad.de/wiki/index.php/Kompromittierung

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Doppelwhopper GarfTermy „für meine lieben unbelehrbaren:...“
Optionen

Gut Garftermy,
habe mir diese Seite mal angeschaut als erstes fiel mir auf das die letzte Änderung der Seite in 2004!!! stattfand.
Grundsätzlich stimme ich dem ja zu was dort steht, lediglich das bedingungslose Formatieren nach dem geringsten Befall, halte ich für überzogen.
Zudem.....es ist schon fast Glücksache bei einer Neuinstallation ohne irgendwelche Angriffe auszukommen......ja,ja ich weiß auch das man es ohne Inet macht;-)
Jedoch fast alle Viren,Spyware oder ähnliche Programme müssen erstmal onlione aktuallisiert werden bis VOLLSTÄNDIGER Schutz besteht!!!

Nun ich möchte dir ja auch nicht deine Philosophie abreden.....jeder so wie er glaubt.

Schau mal in den Link......da kannst du dein Leben noch sicherer gestallten:-)

http://www.pflegewiki.de/wiki/Desinfektion

bei Antwort benachrichtigen
GarfTermy Doppelwhopper „Gut Garftermy, habe mir diese Seite mal angeschaut als erstes fiel mir auf das...“
Optionen

"...lediglich das bedingungslose Formatieren nach dem geringsten Befall, halte ich für überzogen...."

was du hälst - deine sache. das änderungsdatum 2004 ist für den fall unerheblich - die definition hat sich nicht geändert.

"...Jedoch fast alle Viren,Spyware oder ähnliche Programme müssen erstmal onlione aktuallisiert werden bis VOLLSTÄNDIGER Schutz besteht!!!..."

falsch - jeder hersteller bietet definitionen auch extra an, man kann sie offline installieren. wichtiger sind aber die updates - auch die kann man VORHER offline installieren.

du glaubst. ...das haben andere vor dir auch getan und sind mitt ihrem glauben auf der nase gelandet.

ich wünsche dir eine heftige landung.

ENDE

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Borlander Doppelwhopper „Gut Garftermy, habe mir diese Seite mal angeschaut als erstes fiel mir auf das...“
Optionen
als erstes fiel mir auf das die letzte Änderung der Seite in 2004!!! stattfand.
Naja, neuartige Erkenntnisse zu diesem Thema wird in der Zwischenzeit wohl kaum jemand erlangt haben. Das ist nunmal ein Problem was vollkommen unabhängig von der aktuellen Hard und Software ist. Daran wie man fahren fährt hat sich seit 2004 (und sogar schon viel länger) auch nichts verändert...

Grundsätzlich stimme ich dem ja zu was dort steht, lediglich das bedingungslose Formatierenbild nach dem geringsten Befall, halte ich für überzogen.
Andere Forderungen gehen sogar noch weiter. In einem Artikel bei Microsoft werden sogar Backups als nach einem Malwarebefall nicht mehr vertrauenswürdig angesehen, da es keine Zuverlässige Methode gibt den Infektionszeitpunkt fest zu stellen:
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Also ich möchte meinem System gerne vertrauen können...


Gruß
Borlander
bei Antwort benachrichtigen
Marcel39 Borlander „ Naja, neuartige Erkenntnisse zu diesem Thema wird in der Zwischenzeit wohl kaum...“
Optionen

Wieder mal ich hier,

http://www.oschad.de/wiki/index.php/Kompromittierung
dd if=/dev/zero of=/dev/hda unter Knoppix in der Kommandozeile eingeben um eine IDE-Platte zu leeren.
Wie lautet der Befehl für Sata, oder muss man da einen anderen verwenden?

Gruss
Marcel

bei Antwort benachrichtigen
shrek3 Marcel39 „Wieder mal ich hier, http://www.oschad.de/wiki/index.php/Kompromittierung unter...“
Optionen

@ garftermy

die unbegründete angst vor einer neuinstallation

Es vergeht keine Woche, in der ich nicht mehrere Neuinstallationen aufgrund von Kundenaufträgen durchführe.
In dieser Routine stellt sich höchstens Langeweile ein.

du WILLST es nicht verstehen

Was soll nicht verstehen?
Dass du mir die Schuld für Doppelwhoppers Reinigungsprozedur in die Schuhe schiebst? Obwohl ich sie ihm dringend angeraten hatte - dabei nur nicht so "linientreu-fundamentalistisch" vorgegangen bin wie du? Und obwohl Doppelwhopper offensichtlich von Anfang an nicht die Absicht hatte, der Neuinstallation die höchste Priorität zu geben?

Was wirfst du mir hier eigentlich vor???

Und warum nimmst du nicht dazu Stellung?
Übrigens (da du ja Usern, die hinter einem Router sitzen, von einer Desktopfirewall abrätst):
Zu wieviel Dreckschleudern hat genau diese Empfehlung beigetragen? Ich stelle mir nur mal vor, Doppelwhopper wäre früher schon einmal hier bei Nickles gewesen und hätte aufgrund deiner Infos seine Desktopfirewall deinstalliert. Er hätte von diesem Wurm nichts bemerkt...

Und, verdammt nochmal - was haben Bemerkungen wie diese hier überhaupt zu suchen:

ich wünsche dir [Doppelwhopper] eine heftige landung

Bist du schon so weit, dass du anderen Übles wünschst, bloß, weil sie nicht auf dich gehört haben...?

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
GarfTermy shrek3 „@ garftermy Es vergeht keine Woche, in der ich nicht mehrere Neuinstallationen...“
Optionen

shrek - es hat nichts mit fundamentalismus zu tun, sondern mit konsequenz. datensicherheit ist nicht etwas, wo man halbe lösungen dulden kann.

die schaffen in der endkonsequenz nachweislich - wie du sicher selbst auch schon nachlesen konntest - KEINE sicherheit.

und da manche nur aus schaden klug werden, kann ich nur einen schnellen schaden wünschen - desto eher stellt sich nämlich die erkenntnis ein, die andere dir voraus haben...

HALBE SICHERHEIT IST KEINE SICHERHEIT.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Doppelwhopper shrek3 „@ garftermy Es vergeht keine Woche, in der ich nicht mehrere Neuinstallationen...“
Optionen

Nur mal so als kleines Statement,
der Rechner schnurrt nach wie vor völlig Problemlos und sauber!!

Werde mich bei Gelegnheit nochmal zu den letzteren Beiträgen äussern;-)

Gruß
Doppelwhopper

bei Antwort benachrichtigen