View Full Version : Active.Desktop / HIDE BIND.exe /Holeskip.exe
Ich habe ein Problem mit "Active.Desktop"
Es öffnen sich dauerhaft 2 Prozesse durch den internetexplorer. Nur Spyware entdeckt die beiden Sachen aber sind dann nach Neustart wieder da.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bookpurethunkidol
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat
Der Ordner beinhaltet 3 Dateien:
HIDE BIND.exe
senddrv.exe
Signsectmanager
Von mir aus kann ich den internet Explorer auch ganz löschen, den benutz ich sowieso selten. Hauptsache ich habe diese Prozesse straten sich nicht mehr.
Vielen Dank im vorraus
Logfile of HijackThis v1.99.0
Scan saved at 16:43:26, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Firefox\firefox.exe
D:\Downloads\rootkitreveal\RootkitRevealer.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HSW.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
D:\Downloads\HijackThis.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: HSW - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HSW.exe
O23 - Service: kavsvc - Kaspersky Lab - d:\Programme\Kaspersky\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Das hoert sich nach Lop an. Poste bitte ein Hijackthis log und sag, ob und was Spybot meldet.
http://www.cidres-security.de/hijackthis.html Bitte nutzt Version 1.99.1
Oh, wusste nicht dass es da ne neue version gibt.
Logfile of HijackThis v1.99.1
Scan saved at 18:13:47, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - d:\Programme\Kaspersky\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Mittlerweile hab ichs geschafft den Ordner bzw. die index.dat zu löschen.
Trotzdem hätt ich gern ein Lösungsweg, vielleicht hab ich irgendwelche Restdateien vergessen.
Also aktiv ist nichts mehr.
Start bitte die BAT innerhalb dieser Zip Datei und poste das Ergebniss:
http://virus-protect.org/zip/look.zip
Ein Kontrollscan mit cureit im abgesicherten Modus waere auch hilfreich: http://virus-protect.org/cureit.html