Bitte um Hilfe: Rechner langsam, virus?

Begonnen von matthias66, 30. September 2004, 12:53:40 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

tyco

Meine Güte Dein System ist schon wieder voll verseucht!  ::)

Diese Einträge sind definitiv schlecht und zu fixen:

C:\WINDOWS\System32\wuamgrd.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos

O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] wuamgrd.exe

O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe

O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe

Folgende Einträge könnten auch schlecht sein. Falls sie Dir nichts sagen....auch fixen:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://www.telefonica.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,AutoConfigURL = file://C:\Archivos de programa\WinSweep\ws.js

O17 -
HKLM\System\CCS\Services\Tcpip\..\{72306DF5-4D54-4375-92C0-46247FAA95F0}:
NameServer = 80.58.4.33 80.58.34.97

O17 -
HKLM\System\CS1\Services\Tcpip\..\{72306DF5-4D54-4375-92C0-46247FAA95F0}:
NameServer = 80.58.4.33 80.58.34.97

Bitte keine Supportanfragen per PM stellen.

matthias66

hallo tyco, kurz vor mitternacht hatte ich schon einmal geschrieben, was ich dann aber nicht mehr schickjen konnte, weil ploetzlich nichts mehr ging. somit noch einmal: erst mal danke fuer deine hilfe. ich bin voellig ueberfordert. zwischenzeitlich kam auch wieder die info, dass .. die seite nicht angezeigt werden kann, google etc. nun laeuft der rechner ploetzlich wieder. zwischenzeitlich hatte ich zone alarm installiert. danach ging nichts mehr. ich habe versucht, morzilla zu installieren. klappt nicht. mit telefonica geh ich ins netz. ich bin doch in spanien. mit winsweep loesche ich immer alle temporaeren dateien etc. das macht der automatisch. "017/..80..97" steht ebenso regelmaessig auf der gescannten liste, wie ich die regelmaessig fixe. begreif ich nicht. und, wenn ich spysweep laufen lasse, kann ich lesen, dass der archive, wie z.B. teensex, teenxxx, casino, anal, fi**en etc. etc. etc. durchsucht. in solchen seiten war ich noch nie. schon garnicht mit dem neuen rechner. ich hab die dann in der regedit gefunden und geloescht. obwohl die nun geloescht sind, durchsucht der die -nicht mehr vvorhandenen- archive erneut. wenn die sich schon irgendwie eingenistet haben, so ist mir unverstaendlich, wo die noch immer stecken koennen. ich will diesen mist weghaben. kannst du mir da auch helfen? ich hatte dir vor mitternacht eine gute nacht gewuenscht, falls du das vorher noch liest, nicht ahnend, dass garnichts mehr geht. so sage ich wieder einmal danke und bis dann. tschoe matthias

tyco

Hi Matthias,

das scheint ja ein besonders schwieriger Fall bei Dir zu sein.

Wahrscheinlich ist es am einfachsten Du machst eine komplette Neuinstallation. Ziehe Dir Deine wichtigen Daten auf eine andere Partition und installiere Windows mit allen Service Packs neu.

Wie gesagt Firewall und Virenscanner sind heutzutage Pflicht!

Ich weiß jetzt garnicht welches Betriebssystem Du verwendest - ich nehme mal an WinXP - da ist bereits eine Firewall integriert. Als Virenscanner empfehle ich  AntiVir®Personal Edition für Windows Me (Me&98&95) und XP (XP&2000&NT)  (http://www.free-av.de/). Und installiere - falls Du tatsächlich WinXP verwendest - das SP2 .

Ich wünsche Dir viel Erfolg!


Bitte keine Supportanfragen per PM stellen.

matthias66

hi tycon, ich wuensche dir einen angenehmen samstag, vor allem, einen noch besseren sonntag, hoffend, dass du  nicht arbeiten musst. danke fuer deine anhaltende muehe. solltest du mal im lande sein, lasse mich das bitte wissen.
- ich verwende xp-prof, sp1. sp2 hat mir nur probleme gemacht. ich konnte nicht mehr ins internet etc.
- firewall: zone-alarm (leider kann ich aber keine internet-seite oeffnen, wenn die aktiv ist. was mache ich falsch?
- virenscanner habe ich, wie heisst der doch gleich wieder mit dem roten Regenschirm?, dann noch: spysweeper, spybot.., ad-aware, spy-cleaner-gold.
- wenn ich xp-firewall anklicke, erhalte ich die meldung, dass das nicht moeglich ist?
im moment ist der rechner schnell. was ich aber nicht verstehe: ich hatte zone aktiv. unten sah ich im kleinen fenster, dass daten fliessen. ich war aber nicht im netz. hast du eine erklaerung dafuer?
weisst du, mit dem partionieren ist das so eine sache. ich hab beim install zwar gesehen, dass das moeglich ist. ich weiss aber nicht, was ich dann in welche part packen soll etc. deshalb habe ich das gelassen. meine harddisc ist 80GB.
:) mal sehen, wie lange ich noch so froehlich dreinschaue. vielleicht bist du ja onlein? ich werde gleich nochmal reinschauen. koche rasch. meine freundin musste heute arbeiten, ich war nur einkaufen etc. also denn, bis spaeter, wenn du das liest. danke gruss matthias

matthias66

hallo tyco, ich hatte mich zu frueh gefreut. und, zwischenzeitlich habe ich gelernt, in die auslastung zu schauen. allerdings finde ich die gerade wieder nicht. da habe ich "exe`n" gefunden. wenn ich die allerdings in der regedit suche, finden die sich nicht. ich verstehe ueberhaupt nichts mehr. : svchost, wspopup, wuauclt, nisvxm, mdm, lexpps, winnt, lsass, crss, smss, ganz unten: inactive 91% PID O SYSTEM ID.DE 0 20KB. Wenn ich diese "exen" in der regedit zum suchen eingebe, findet  sich dort keine. Und, zone-alarm zeigt mir datenstroeme, obwohl ich garnicht im netz bin. Und, wenn ich z.b. "google.." eigebe, lese ich unten immer zahlen, habe ich den eindruck. Dass zunaechst andere seiten(/fenster geoffnet werden mit einem gruss matthias

tyco

Die Datei crss ist der Trojaner W32/Brewbot-A. Sorry!  :'(

http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=i&submit=suche&show=I-Worm.Brewbot.A
Bitte keine Supportanfragen per PM stellen.

matthias66

hi tyco, vermutlich schlaefst du schon? du, danke. aber, komisch, vom rechner (Monitor/aus den programmen) sind ploetzlich antivirusse weg, dazu fehlen "word" "Exel", das icon von IE+der adsl-verbindung, hijackthis fehlt etc. und, deine letzte antwort fehlt hier ebenso. das ist komisch. aber, ich habe etwas gelernt. wenn der rechner ploetzlich langsam ist, schaue ich flugs in die cpu-auslastung. vorhin habe ich einen geloescht, der 97% beanspruchte. und der rechner flutscht.  ::) so, nun kann ich noch ein stuendchen oder zwei arbeiten. nochmals danke und gruss matthias

urkel

Probier mal Mozilla FireFox als Webbrowser: http://www.mozilla.org/products/firefox/ und schau, ob das Problem weiterhin besteht. Ich vermute allerdings nen Virus/Trojaner/Spyware/...

Verwendest Du eine Firewall? Wie aktuell ist Dein Virenscanner?

Grüße
Sebastian

matthias66

hallo tyco + sedbastian, vielen Dank  :-* fuer eure muehe. den morzilla hab ich mir  schon mal aufgespielt. aber, ich komme mit dem nicht so zurecht. ich vermisse z.b. "favoriten", wo ich eine seite einfach anklicken kann. heute habe ich xp erneut aufgespielt. ganz systematisch, wie ich mir das mit meinem bescheidenen hirn vorstelle. nur xp installiert, dann alles geloescht oder bereinigt oder wie auch immer mit diesem east-tec, dauerte alleine drei stunden. dann antivirus und antitroyaner (die zu meiner verwunderung sogleich einige fanden-?!?-, dann rest der programme, dann internet. nun funtioniert es. allerdings ist mir schleierhaft, wie zonelap wieder datenstroeme anzeigen kann, obwohl ich noch nicht mal im internet war? vielleicht seid ihr nochmal so freundlich, euch das anzuschauen, was ich gerade gehaischtaeckt habe?:

Logfile of HijackThis v1.98.2
Scan saved at 0:00:53, on 05/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\ARCHIV~1\SPYCLE~1\SpyWatcher.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\SurfMusik 3.0\SurfMusik.exe
C:\Documents and Settings\carlos\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pralerts.zonelabs.com/pralerts/pranalyze.jsp?PN=Cargador+de+rutina+para+el+programa+de+instalaci%C3%B3n+WINNT32&VER=5.1.2600.1106+(xpsp1.020828-1920)&FN=winnt32.exe&Created=2d299c51&Size=46592&MD5=c072ea55a4cf90bce07e67492d1ce7a1&&RIPA=0.0.0.0&RP=53&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqhisiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=5.1.033.000&HU100=&DTST=24546&QSRC=1&OS=Windows+XP-5.1.2600-Service+Pack+1-SP&LANG=3082&CL=de&LICFLAG=1&OEM=1079&SKU=0&Mode=1 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spy Watcher] "C:\ARCHIV~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{34C4D010-A11A-4ADF-973E-4B60B157F0C4}: NameServer = 80.58.4.33 80.58.34.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{34C4D010-A11A-4ADF-973E-4B60B157F0C4}: NameServer = 80.58.4.33 80.58.34.97

ist das jetzt alles aukeit? zur erklaerung: unter vinculos (der ordner installiert sich immer von selbst unter favoriten, steh dann hotmail etc. irgendwo las ich, dass "svchost.exe" ein virus oder troyaner sei. also habe ich alles aus der regedit geloescht. dann war der rechner aber sehr langsam. also habe ich xp erneut aufgespielt/repariert. nun steht die wieder drin, was mich vermuten laesst, dass die zum system oder zu wem auch immer -normal- gehoert?

American

Hallo!

Ja, die svchost gehört zum System.

Falls ich Dir ein Tipp geben darf. Nimm mal einen anderen Virenscanner / Firewall. Die meinungen gehgen zwar auseinander wie Hefe, aber bei der FW ist man eigentlich gleicher meinung das es nichts Gutes ist und beim Av programm sagt der eine Gut und der andere nicht Gut, bisher habe ich persönlich nur schlechtes damit erfahren dürfen.

mfg
American
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

matthias66

hallo american, recht herzlichen dank. es ist ruehrend, so viel aufmerksamkeit und hilfe zu erfahren. dankeschoen. ich habe auch noch norton -gehabt-. die cd ist irgendwie beschaedigt. bei denletzten schritten erhalte ich die meldung, dass ... nicht zu lesen ist. kaese eben. im moment scanne ich gerade alle viruse, die symantec mir mitgeteilt hat. bisher hat sich aber noch keiner gefunden. so werde ich wohl crss mit haitschaeck killen. weiss nur nicht, ob es damit getan ist. versteh ich erhlich nicht. hab doch gerade erst neu aufgespielt und war nur je einmal in google.de+es+meinen emailaccounts.  :-[ aba, so ises eben. da wird die nacht nicht langweilig. meine freundin meckert schon, weil ich bis um 3-4 am rechner hocke, dabei aber nichts geschafft bekomme, weil ich nur den viren hinterher bin. dass spanien da so different zur alenten brd ist? aber, die verwenden hier analoge leitungen, obwohl ich adsl habe. versteh das nicht, wie das funktionieren kann. na, is ja auch egal. jedenfalls danke ich dir, ich wuensche dir noch eine gute nacht. ich schwinge die keule gegen die naechsten viren. danke nochmal und gruss matthias tschoe

matthias66

hallo tyco, america undhelfer(innen). in der registri finde ich weder "crss", noch I-Worm.Brewbot.A. symantec ist der auch nicht bekannt. wenn ich allerdings die systemauslastung aufrufe sehe ich dort crss System 1.712 Kb. ich bekomme hier zur antwort, dass dieser eintrag nicht geloescht werden kann. bedeutet das, ich muss xp noch einmal neu installieren? bitte noch einmal um hilfe. vielen dank erneut + gruss matthias

American

Hallo matthias.

Nun ja, auch wenn mich alle hier wegen meiner meinung erschlagen -> Ich kann nichts schlechtes über Norton sagen. fahre damit seit 4jahren ohne Probleme. Bisher hat die FW jeden Wurm oder so blockiert ohne Probleme und Anti Virus, wenn dann mal einer über einen Download oder über eine Hintertür versucht hat, rein zu kommen, hat diesen sofort erkannt und Isoliert / gelöscht, ohne Probleme. Muss aber sagen, ich nutze nicht die Standart Einstellungen, mit diesen, kann er datein die grade verwendet werden, nicht isolieren oder Löschen. Und das ist meistens der fall bei Viren und Co. nebenher laufen Winpatrol und Spybot (teaTimer) im hintergund immer mit. Ich surfe seit 4jahren mit dem IE durchs Netz, und habe mir noch nichts böses damit eingefangen. jeder schlägt mich dafür zwar, aber was kann ich bitteschön dafür, wenn ich damit halt klar komme?

Genauso glaube ich gerne, das des Anti Virus Programm Anti Vir gut sein mag. Aber ich habe nun mehrere PC's gesehen, die das drauf hatten. entwder erkennt Anti Vir nix oder erst nachdem der PC befallen ist und Anti Vir dann ausser kraft gesetzt wird vom Virus. Nur ich persönlich habe es halt bisher nur Negativ gesehen, von daher traue ich dem Programm nicht.

Solltest Du nochmals Neuinstallieren, was zwar eigentlich nicht nötich ist, aber aus der ferne kann man immer schlecht Helfen, gebe ich dir ein Tipp: Bevor Du online gehst, solltest Du dir dein PC updaten mit dem SP2 zum beispiel (halt vorher auf CD Brennen) und erst dann online gehen, wenn du alles an Sicherheitstools Installiert hast.

Zu crss -> http://www.sophos.de/virusinfo/analyses/w32spybotbs.html

mfg
American
Das Leben ist ein Geschenk, aber keiner hat mich gefragt, ob ich das Geschenk haben will.
Wenn dich einer fragt, ob du es haben willst, dann nimm es, fang von Vorne an und mach was draus.

Jede Beziehung geht mal durch eine Kriese. Wenn du das nicht kennst, dann weisst Du nicht was Liebe ist!


Dafür das Kinder auch Kinder sein dürfen

matthias66

guten morgen american noch einmal. ich sehe naemlich, dass meine antwort garnicht vorhanden ist. nochmals danke. ich habe nun firefox installiert. allerdings vermisse ich dort die moeglichkeit "favoriten", worunter ich z.b. diese seite speichern und so einfach mit einem klick aufrufen kann. darf ich bitte noch etwas fragen?: crss.exe finde ich in der registry nicht mehr. allerdings, wenn ich dieses fenster systemauslastung oeffne, lese ich diese dort, kann sie aber nicht eliminieren. und, wenn ich mit killprozess eliminieren wll, wird der bildschirm schwarz und zeigt mir dann die fehllermeldung, wonach eine ueberpruefung ablaeuft. crss.exe bleibt hartnaeckig. muss ich also doch wieder neu installieren? denn, ich las, dass der urheber sogar meine tastenbedienungen mitliest?! nochmals danke/gruss/schoenen tag matthias

tyco

Zitat von: matthias66 am 05. Oktober 2004, 11:51:00 Uhr
nochmals danke. ich habe nun firefox installiert. allerdings vermisse ich dort die moeglichkeit "favoriten", worunter ich z.b. diese seite speichern und so einfach mit einem klick aufrufen kann.

Wieso? Firefox fragt doch bei der Installation, ob andere Favoriten (Lesezeichen) importiert werden sollen. Firfox macht das einwandfrei. Das hat bei mir bisher immer funktioniert.
Bitte keine Supportanfragen per PM stellen.

TMK

Zitat von: matthias66 am 05. Oktober 2004, 11:51:00 Uhr
allerdings vermisse ich dort die moeglichkeit "favoriten", worunter ich z.b. diese seite speichern und so einfach mit einem klick aufrufen kann.

Hi,

Favoriten sind unter Firefox die "Lesezeichen" bzw. in der englischen Version die "Bookmarks"! Die Favoriten vom IE lassen sich ebenfalls problemlos Importieren, falls nicht automatisch ein entsprechender Hinweis dazu kommt bzw. gekommen ist, dann unter Datei --> Importieren... wählen.

Zitat von: matthias66 am 05. Oktober 2004, 11:51:00 Uhrcrss.exe finde ich in der registry nicht mehr. allerdings, wenn ich dieses fenster systemauslastung oeffne, lese ich diese dort, kann sie aber nicht eliminieren. und, wenn ich mit killprozess eliminieren wll, wird der bildschirm schwarz und zeigt mir dann die fehllermeldung, wonach eine ueberpruefung ablaeuft. crss.exe bleibt hartnaeckig. muss ich also doch wieder neu installieren? denn, ich las, dass der urheber sogar meine tastenbedienungen mitliest?!

Diesen Prozess solltest Du eher nicht beenden, trägt zur Stabilität und Sicherheit des System bei, siehe auch:

http://www.liutilities.com/products/wintaskspro/processlibrary/crss/

Gruß
TMK

P.S.: Tyco war wohl mal wieder ein paar Sekunden schneller mit dem Posten!  :D

tyco

Zitat von: TMK am 05. Oktober 2004, 12:04:51 Uhr
P.S.: Tyco war wohl mal wieder ein paar Sekunden schneller mit dem Posten!  :D

;D

Deine HijackThis.log von gestern enthält noch Einträge die gefixt werden müssen:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://pralerts.zonelabs.com/pralerts/pranalyze.jsp?PN=Cargador+de+rutina+p
ara+el+programa+de+instalaci%C3%B3n+WINNT32&VER=5.1.2600.1106+(xpsp1.020828
-1920)&FN=winnt32.exe&Created=2d299c51&Size=46592&MD5=c072ea55a4cf90bce07e6
7492d1ce7a1&&RIPA=0.0.0.0&RP=53&Connect=1&Pgmstatus=1&Zone=2&Keycode=j5hvqh
isiu3s4he7bhx644bu4g0&Product=ZoneAlarm&ProductVersion=5.1.033.000&HU100=&D
TST=24546&QSRC=1&OS=Windows+XP-5.1.2600-Service+Pack+1-SP&LANG=3082&CL=de&L
ICFLAG=1&OEM=1079&SKU=0&Mode=1 (obfuscated)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
Bitte keine Supportanfragen per PM stellen.

matthias66

Logfile of HijackThis v1.98.2
Scan saved at 13:01:31, on 05/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\ARCHIV~1\SPYCLE~1\SpyWatcher.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\SurfMusik 3.0\SurfMusik.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\carlos\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
F2 - REG:system.ini: Shell=
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spy Watcher] "C:\ARCHIV~1\SPYCLE~1\SpyWatcher.exe" -S
O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096962740860
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A6133FF-A2AC-4B65-A250-D327A70017A0}: NameServer = 80.58.4.33 80.58.34.97

hallo tyco, dankeschoen fuer deine muehe. wie du siehst, bekomme ich crss.exe nicht weg. was mach ich nur? las ich doch, dass da irgendwer irgendwo alle meine tastenbetaetigung etc. verfolgt. soll ich doch noch einmal neu installieren? ich wuensche dir einen angenehmen tag. hoffentlich hast du schoenes wetter. gruss+danke matthias

tyco

Zitat von: matthias66 am 05. Oktober 2004, 13:03:44 Uhr


hallo tyco, dankeschoen fuer deine muehe. wie du siehst, bekomme ich crss.exe nicht weg. was mach ich nur? las ich doch, dass da irgendwer irgendwo alle meine tastenbetaetigung etc. verfolgt. soll ich doch noch einmal neu installieren? ich wuensche dir einen angenehmen tag. hoffentlich hast du schoenes wetter. gruss+danke matthias

Danke Matthias!  :D Das Wetter ist ganz gut, wenn auch nicht so schön wie in Spanien!  ;)

Das sieht doch mal garnicht schlecht aus. Ich habe nichts gefunden, auch nicht crss.exe. Der Eintrag im Logfile lautet auch C:\WINDOWS\system32\csrss.exe und gehört zu Windows.

Falls Dir dieser Eintrag nichts sagt bzw. Du diese IP nicht kennst solltest Du fixen:

O17 -
HKLM\System\CCS\Services\Tcpip\..\{3A6133FF-A2AC-4B65-A250-D327A70017A0}:
NameServer = 80.58.4.33 80.58.34.97
Bitte keine Supportanfragen per PM stellen.

matthias66

aukeiiiii ;D läts go on tu de näxt fait ;D ;) und mäniiiie dänks!!!!!! da du wohl staendiger helfen bist, schaue ich immer wieder rein. danke an alle, die sich um mich bemueht haben. bis demnaechst :'(