Taskmanager registry und ie geht nicht

[r4zi3l 10]

hi all...habe da ein ziemlich ****es Problem.

 

also, es ist so:

 

ich starte meinen PC. alles geht soweit. Der Virenscanner (norman) hat keine Probleme. so, jetzt starte ich das internet. ich kann für ca. 1 min. surfen wenn ich glück habe, dann geht nix mehr mit internet. gutgut denk ich mir, schau doch mal bei den tasks nach. ich starte taskmanager und dieser schliesst nach 2 sec. wieder. ich denk so: wtf???...dann will ich mal in der registry nachschauen und dort geschiet das selbe. Auch dieser verschwindet wieder nach 2 sec.

 

ein virenscan bringt nix ein adawarecsan bringt auch nix.

 

ich weiss nicht mehr was ich machen soll...hoffentlich könnt ihr mir so schnell wie möglich helfen da ich dringend mein internet brauche.

 

habe eine XPpro maschiene und es sollten alle wichtigen updates gemacht worden sein. Auch der Norman sollte aktuell sein

 

greetz...nino

[r4zi3l 10]

ach ja...habe gerade herausgefunden das ich das Problem nur habe wenn der PC im netz ist. Wenn ich den pc nicht im netz habe funktioniert alles. ich glaube es geht auch alles wenn ich nicht ins internet will. erst wenn ich irgendwie die Verbindung aufbauen will funzt nachher nix mehr

[r4zi3l 10]

so...da ich einen trojaner vermute habe ich mir mal trojancheck geholt. bei den tasks hat es einen komischen eintrag mit nicht aussprechbaren zeichen...ihr wisst sicher was ich meine...

 

kennt ihr ein gutes antitrojanerprogramm??

[saracs 10]

hi!

 

wer suchet der findet ;) :D

 

http://www.mcseboard.de/showthread.php?s=&threadid=30691

 

hangel dich anhand dieser anleitung entlang, dann sollte dein rechner wieder "frei" sein. nach einem trojanerbefall sollte man (je nach verwendung des rechenrs) über eine neuinstallation (KOMPLETT) nachdenken. man bekommt nicht immer einen bereits verseuchten rechner wieder viren/trojanerfrei :(

 

gruss saracs

 

ps: du kannst auch unsere benutzen. dann brauchst nicht jedesmal einen neuen post setzen ;)

[r4zi3l 10]

naja...das hilft mir nicht weiter. Diese Dinge die dort aufgezählt worden sind sagt nicht wie ich ihn genau lokalisieren und nachher entfernen kann. und genau das ist ja mein Problem...

 

kann mir echt keiner helfen??...ich habe keine Lust ****** zu kicken...

[saracs 10]

hast du dir denn mal die genannten programme heruntergeladen und angesehen? viele der programme sind selbsterklärend einfach starten und abwarten. wenn infizierungen oder unstimmigkeiten gefunden werden meckern die progs und reparieren oder beheben die fehler in der regel ;)

 

ansonsten:

 

systemwiederherstellung (soweit aktiv) deaktivieren! (systemsteuerung->system->systemwiederherstellung-> deaktivieren!)

 

hijackthis laden und starten. danach scan (links unten) nach scan das log speichern und bitte hier posten. ich schau's mir dann mal an ;)

 

danach cwshredder laden und starten. dann fix und programm durchlaufen lassen. wenn das prog etwas findet repariert oder löscht es dies ;) also einfach nur alufen lassen und beenden. achja ergebnis bite posten ;)

 

dann spybot starten und auf updates prüfen lassen. wenn welche vorhanden runterladen. danach auf überprüfen klicken. wenn infektionen gefunden werden bietet das programm die bereinigung an. diese durchführen und zum schluss system immunisieren ;) (button befindet sich links im prog)

 

programm adaware laden. "check for updates now" neue reference files downloaden. dann auf scan now -> next und ab gehts :D bissl warten und wie bei spybot die gefundenen fehler beheben lassen ;)

 

zu guter letzt lädst du dir bitte noch stinger hier herunter: http://download.nai.com/products/mcafee-avert/stinger.exe und führst es aus. einfach auf scan. das programm läuft vollautomatisch und meldet alles ;)

 

jetzt sollte dein system soweit "frei" sein :)

 

GANZ WICHTIG: nach getaner arbeit die systemwiederherstellung wieder aktivieren!!!

 

gruss saracs

 

ps: bei problemen wieder melden und über ein feedback würd ich mich sehr freuen :)

 

EDIT: soweit möglich die programme ausführen wenn der rechner keine aktive verbindung ins inet hat (ausser bei updates) erst nachdem alle programme durchgelaufen sind wieder ins inet gehen!

[r4zi3l 10]

also wie soll ich die updates machen wenn ich ja wie schon beschrieben nicht ins internet komme?... ;)

 

wie schon gesagt habe ich all diese Tools schonmal durchrattern lassen. Aber für dich mache ich das gerne nocheinmal ;)

 

hier noch das log von hijack:

 

Logfile of HijackThis v1.97.7

Scan saved at 22:24:16, on 31.05.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\System32\CTsvcCDA.exe

D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Norman\Nvc\BIN\Zanda.exe

D:\Programme\Analog Devices\SoundMAX\SMAgent.exe

D:\WINDOWS\System32\MsPMSPSv.exe

D:\NORMAN\Nvc\BIN\NVCSCHED.EXE

D:\NORMAN\Nvc\BIN\NJEEVES.EXE

D:\NORMAN\Nvc\BIN\nvcoas.exe

D:\NORMAN\Nvc\BIN\nipsvc.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\NORMAN\Nvc\BIN\ZLH.EXE

D:\NORMAN\Nvc\BIN\NYMSE.EXE

D:\NORMAN\Nvc\BIN\NIP.EXE

D:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

D:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

D:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

D:\WINDOWS\System32\CTHELPER.EXE

D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe

D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

D:\NORMAN\Nvc\BIN\cclaw.exe

H:\setupz'n'images\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Norman ZANDA] D:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [soundMAXPnP] D:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "D:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] D:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [sBDrvDet] D:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKLM\..\RunServices: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKCU\..\Run: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKCU\..\RunServices: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren (HKLM)

O9 - Extra button: ICQ 4.0 (HKLM)

O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.3770138889

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DB8269D-82D2-43D4-82D7-8B43A3E2CE99}: NameServer = 192.168.1.1

 

 

najo...keine Ahnung ob du was findest. ich habe auf jedenfall nix gefunden.

 

naja...was ich nochmal sagen möchte ist, das ich mit trojancheck etwas entdeckt habe. und zwar einen Eintrag bei den Prozessen der so aussieht wie ein Wort wenn es eine andere Sprache ist, und von Windows dann so komisch übersetzt wird. naja auf jedenfall kann ich diesen Prozess nicht beenden. Den sobald ich diesen beende mit trojancheck wird ein neuer gestartet einfach unter einem anderen so komischen Namen.

 

greetz nino

 

ps: Feedback: ja danke das du so schnell geantwortet hast. es ist nur schade das es mir nicht geholfen hat. naja evt. kriegen wir es noch raus. Sonst werde ich einfach mal windows kicken...****t mich das an...!!!

[saracs 10]

O4 - HKLM\..\Run: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKLM\..\RunServices: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKCU\..\Run: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKCU\..\RunServices: [Windows DLL host] "D:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

 

mir scheint du hast einen befallenen rechner ;) makier diese einträge und lass sie fixen (systemwiederherstellung nicht vergessen) danach von hand die datei von diesem ort löschen!

 

gruss saracs

[r4zi3l 10]

hmm...kommen diese Prozesse nicht von den windows updates???

 

habe diese aus diesem Grund nicht gelöscht. Aber sind mir auch komisch vorgekommen.

 

greetz...nino

[saracs 10]

ich hab weder den ordner etc\winupd noch die datei winupd32.exe auf meinem xp system und ich nutze das winupdate ;)

 

ich denke mal das es einer ist! googlen bringt auch nur viren info. zwar keine konkreten aber nach einem windows service siehts nicht aus :suspect:

 

gruss saracs

 

ps: rechner sichern (image/systemwiederherstellung) und testen ist wohl angesagt ;)

[r4zi3l 10]

hehe...ach was ich bin risikofreudig...und ausserdem macht es nix wenn die maschiene nicht mehr läuft. werde dies gleich machen und nachher den feedback schreiben ob es geklappt hat oder nicht.

 

hf gl in rl...nino

[saracs 10]

ich denke nicht das durch das löschen dieser reg einträge (sind ja nur run also autostart einträge) und der datei dein system endgültig hinüber ist :suspect:

 

und wenn doch gibts ja die systemwiederherstellung :wink2:

 

gruss saracs

[fritzo 10]

Hi,

 

es ist wahrscheinlich ein Trojaner - entweder Troj/Adtoda oder Troj/Asylum; eventuell auch eine modifizierte Variante. Am besten erst mal alle zugehörigen Tasks (oder Dienste?) löschen und dann die binaries und die Starteinträge löschen. Fahr am besten im Recoverymode hoch und nimm dann die Änderungen vor.

 

Grüße,

Fritz

[r4zi3l 10]

hehe...ne denk ich eigentlich auch nicht...und wenn ja dann...wtf...^^...

 

nun ja...auf jedenfall habe ich diese Dateien mal gelöscht. Soweit sogut...es funktioniert alles bis jetzt.

 

Das einzige Problem das ich jetzt noch habe ist dieser komische Eintrag wenn ich mit trojancheck nachschauen gehe. irgendwie ist der immernoch vorhanden.

 

aus diesem grund werde ich das ganze noch nicht als erledigt anschauen. werde das System erst mal ein paar tage laufen lassen. Und wenn dan alles ok ist habe ich etwas mehr dazu gelernt...^^

 

danke für die hilfe.

 

hf gl in rl...nino

[saracs 10]

hi!

 

der eintrag aus trojancheck ist das system an sich. das programm kann das scheinbar nicht korrekt interpretieren :suspect: wenn dir beim beenden des prozesses ein fehler mit der PID 00000004 kommt brauchst nix befürchten ;) das muss so sein *g PID 4 = SYSTEM

 

gruss saracs