iexplore.exe mehrmals im taskmanager

15.10.2004, 12:08
Member

Beiträge: 40
#1 Logfile of HijackThis v1.98.0
Scan saved at 12:07:10, on 15.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Anti-Trojan-55\ATWatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Anti-Trojan-55\Anti-Trojan.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
P:\Tools\Anti- Viren & Spyware progs\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynzqnpyrcltyjrxftywepeuw.net/gMkWzUdlFmNAMtEMo2ZAQk7/EEUVf9_VgkS3cwDN9u1urCbjS65dk3g8uwcbTl9F.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [balm loud] C:\DOKUME~1\G1U3CK~1\ANWEND~1\STOPHE~1\Moveexit.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D11B294-D36C-4A11-9198-2AF12690B134}: NameServer = 217.237.150.141 217.237.150.97

und noch n anderes prog hab msn plus drauf und jetzt ist unten im iexplorer immer so ne tool bar und bei meinem favoriten sind öfter mal ordner oder sonstige neue sachen für online games oder so wie bekomm ich das weg?!
ich hab windows xp
hab im thread schon gesucht und auch das gefunden aber für n andres windows weil bei mir beim regedit es ganz anders heist

Mfg

LuKes
Seitenanfang Seitenende
16.10.2004, 02:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @baddi

Fixe, dann neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ynzqnpyrcltyjrxftywepeuw.net/gMkWzUdlFmNAMtEMo2ZAQk7/EEUVf9_VgkS3cwDN9u1urCbjS65dk3g8uwcbTl9F.html
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [balm loud] C:\DOKUME~1\G1U3CK~1\ANWEND~1\STOPHE~1\Moveexit.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

neustarten

#Loesche:
Moveexit.exe unter :
C:\DOKUME~1\G1U3CK~1\ANWEND~1\STOPHE~1\Moveexit.exe

#deinstalliere
:
C:\Programme\Messenger Plus! 3\MsgPlus.exe

Internetexplorer reinigen
:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Sauebere den Browser
:TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm

#Sphj.fix
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746
# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Datentraegerbereinigung
: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
#Search&Destroy
http://www.safer-networking.org/de/download/index.html

dann poste das Log noch mal.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.10.2004 um 02:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.10.2004, 15:38
Member

Themenstarter

Beiträge: 40
#3 Logfile of HijackThis v1.98.0
Scan saved at 15:37:38, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Anti-Trojan-55\ATWatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
P:\Tools\Anti- Viren & Spyware progs\hijackthis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab


so da issa log ;)

msn plus hab ich nich installed.... zur info ;)
Seitenanfang Seitenende
11.02.2006, 11:34
...neu hier

Beiträge: 7
#4 hmm ich hab versucht das prob wie oben zu lösen aber ... es scheitert schon am anfang ... kenn mich nich soooo aus mit pc´s
hier mein hijack logdings
Logfile of HijackThis v1.99.1
Scan saved at 11:29:41, on 11.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\UAService7.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\save zeugs\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
E:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Oneil\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SAVEZE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74D5514B-9CD6-34E9-E37C-BFDEA5FA5069} - C:\DOKUME~1\Oneil\ANWEND~1\dashload\BitsMemo.exe
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - E:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - E:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [nTrayFw] C:\NVIDIA\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [vga tons software mapi] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BYTEMIXVGATONS\joy chin.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\save zeugs\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft-Indexerstellung.lnk.disabled
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\1200 CU PLUS\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7431EEF-F6B8-4ED5-B189-C03C6059166D}: NameServer = 192.168.3.1
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINNT\System32\UAService7.exe

es geht auch um den "iexplore.exe" den ich 2 mal hab und der wahrscheinlich viel an cpu auslastung braucht ;)( ich will den wegbekommen, hab schon spybot S&D durchlaufen lassen, antivir, regcleander, adaware ausserdem hab ich den internet explorer schon deinsatlliert bis auf ein paar dateien die immer einfach wieder erscheinen ich benutze "firefox" halt ... mozilla ... (is glaub ich des gleiche ) ich hoff du kannst mir genauso helfen wie den anderen ;)

lg
Fabian

ps falls du meine email auch siehst dann schreib da am besten mal irgendwas hin das ich weis das du ne antwort geschrieben hast
Seitenanfang Seitenende
11.02.2006, 20:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 F4B1J4N

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {74D5514B-9CD6-34E9-E37C-BFDEA5FA5069} - C:\DOKUME~1\Oneil\ANWEND~1\dashload\BitsMemo.exe
O4 - HKLM\..\Run: [vga tons software mapi] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BYTEMIXVGATONS\joy chin.exe
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

PC neustarten --> in den abgesicherten Modus (F8 dreucken, wenn der pC hochfaehrt und abgesicherter modus waehlen)

#deinstalliere
Need2Find Bar

loeschen:
C:\Dokumente und Einstellungen\Oneil\Anwendungsdaten\dashload
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BYTEMIXVGATONS

boote wieder in den nomalmodus

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt



- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 12:03
...neu hier

Beiträge: 7
#6 zu allererst danke für die hilfe;))
die beiden IEXPLORE.EXE tasks sind immernoch da .
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
das stand nicht mehr in der liste drinne... hab ich vielleicht schon gelöscht bekommen.
Need2Find Bar ... hab ich den ordner gelöscht wo´s drin stand (im abgesichterten modus) aber ich weis nich ob das richtig war :\ wenn nich, gibts dafür ein programm mit dem man das ganz löschen kann ? in der systemsteuerung unter "software" kann ich´s nämlich auch nich löschen weil da irgendsowas angezeigt wird wie "kann die datei (der pfad von need2find bar) nicht finden. Also auf gut deutsch, hab ich keine andere möglichkeit gefunden das ding zu löschen. sonst ging alles glatt ;)


Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C816-1497

Verzeichnis von C:\WINNT\tasks

12.02.2006 12:00 <DIR> .
12.02.2006 12:00 <DIR> ..
04.10.2000 13:00 65 desktop.ini
12.02.2006 11:56 6 SA.DAT
10.02.2006 23:28 234 Spybot - Search & Destroy - Scheduled Task.job
3 Datei(en) 305 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Oneil\Desktop


hoffe hab alles richtig gemacht

MfG
Fabian
Seitenanfang Seitenende
12.02.2006, 12:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 F4B1J4N

Counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 16:53
...neu hier

Beiträge: 7
#8 Spyware Scan Details
Start Date: 12.02.2006 16:05:52
End Date: 12.02.2006 16:42:19
Total Time: 36 mins 27 secs

Detected spyware

NetPumper Adware Bundler more information...
Details: Bundles with a number of adware components such as cydoor, Save!, ClockSync, and WhenU Toolbar.
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\oneil\anwendungsdaten\netpumper\oneil.ini

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumper.AddUrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NetPumper.AddUrl\CLSID {1AA406AB-F581-42AB-B4D1-31D2E13819EF}



Twain Tech Adware more information...
Details: Twain-Tech is an adware based Internet Explorer browser helper object that deliver targeted ads based on a user’s browsing patters. Twain-Tech does not provide any other relevant purpose other then to display pop-up ads.
Status: Deleted

Infected files detected
c:\winnt\smdat32a.sys
c:\winnt\smdat32m.sys


Netwebsearch Toolbar Adware more information...
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\oneil\desktop\popupblocker.exe


IESearchToolbar Browser Hijacker more information...
Details: IESearchToolbar is an Internet Explorer toolbar that hijacks the web browser search settings.
Status: Deleted

Infected files detected
c:\winnt\toolbar.exe


ADSlime Adware more information...
Status: Deleted

Infected files detected
c:\winnt\ms1.exe


Trojan.PayTime Trojan more information...
Details: Trojan.PayTime modifies the default Internet Explorer start page to the a spyware-related URL by modifying the systems registry.
Status: Deleted

Infected files detected
c:\winnt\system32\paytime.exe


Trojan.Downloader.HF Trojan more information...
Details: Trojan.Downloader.HF is a downloader Trojan.
Status: Deleted

Infected files detected
c:\winnt\tool1.exe


Misc.Spy Sheriff Potentially Unwanted Software more information...
Details: SpySheriff is a purported anti-spyware application to scan for and remove spyware from users' computers.
Status: Deleted

Infected files detected
c:\winnt\tool2.exe
c:\winnt\tool4.exe


Unclassified.Trojan.Downloader.97 Trojan Downloader more information...
Status: Deleted

Infected files detected
c:\winnt\tool3.exe


Unclassified.Spyware.103 Spyware more information...
Status: Deleted

Infected files detected
c:\winnt\kl.exe


Need2FindBar Adware more information...
Status: Deleted

Infected files detected
C:\Dokumente und Einstellungen\Oneil\Lokale Einstellungen\Temp\backups\backup-20060212-114332-721.dll


Altnet Browser Plug-in more information...
Details: Topsearch is a .dll file that acts as a search engine and runs inside Internet Explorer as a Browser helper Object (BHO). It can supply advertising content to KaZaA users.
Status: Deleted

Infected files detected
E:\Program Files\Altnet\Download Manager\asm.exe

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE AppID {8B0FEF15-54DC-49F5-8377-8172DE975F75}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\adm.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\adm.EXE AppID {99A8E2B2-3405-4C0D-9110-131C14CAAF62}


RBot.steam Trojan more information...
Status: Ignored

Infected files detected
E:\Programme\Valve\platform\steam_dev.exe


KaZaA P2P more information...
Details: Kazaa is a Peer to Peer file sharing application that uses some adware advertising as well as installs a number of thrid party adware software on your computer.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Kazaa\Advanced
HKEY_CURRENT_USER\Software\Kazaa\Advanced MaxSearchResult 200


RXToolbar Adware more information...
Details: RXToolbar is an Internet Explorer toolbar that shows links for the current page being viewed, targetted through www.searchenginebar.com.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\RX Toolbar
HKEY_CURRENT_USER\Software\RX Toolbar RegisterNow 1


Adw.Need2Find.Toolbar Toolbar more information...
Details: Adw.Need2Find.Toolbar is an IE plugin with its own Search Field.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Need2Find

Find Whatever Now Adware more information...
Details: FindWhateverNow is an Internet Explorer toolbar opening search results at findwhatevernow.com.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar {8E718888-423F-11D2-876E-00A0C9082467}


Backdoor.Aimbot.ca Backdoor more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP DisplayName SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP ErrorControl 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP Start 2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP Type 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum 0 Root\LEGACY_SVKP\0000


Claria.DashBar Cookie Cookie more information...
Details: DashBar cookie is a small text file placed on the user's computer after when visiting the Claria/GAIN DashBar website.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\oneil\cookies\oneil@belnk[1].txt


casalemedia.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\oneil\cookies\oneil@casalemedia[2].txt
Seitenanfang Seitenende
12.02.2006, 17:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 18:57
...neu hier

Beiträge: 7
#10 12.02.2006 16:52 0 _nvidia_xxx_.log
12.02.2006 16:52 2.732 kspydoc.log
12.02.2006 16:52 0 Sweeper.cfg
11.02.2006 16:37 98.304 CmdLineExt.dll
11.02.2006 15:59 100.352 dfrg.msc
10.02.2006 23:02 20.801 FFASTLOG.TXT
10.02.2006 16:07 363.562 perfh007.dat
10.02.2006 16:07 50.808 perfc009.dat
10.02.2006 16:07 369.124 perfh009.dat
10.02.2006 16:07 852.524 PerfStringBackup.INI
10.02.2006 16:07 61.656 perfc007.dat
10.02.2006 06:30 93.480 FNTCACHE.DAT
18.01.2006 17:45 43.520 CmdLineExt03.dll
18.01.2006 13:05 57.344 avsda.dll
14.01.2006 23:05 16.384 Perflib_Perfdata_360.dat
14.01.2006 12:25 16.384 Perflib_Perfdata_364.dat
04.01.2006 19:46 2.836.320 MRT.exe
03.01.2006 02:44 2.780 qtplugin.log
30.12.2005 17:15 233.744 GDI32.DLL
29.12.2005 13:57 120.868 MSForms.TWD
27.12.2005 19:22 1.507 sdbackup.reg
24.12.2005 20:43 16.384 Perflib_Perfdata_340.dat
17.12.2005 19:36 2.368 SVKP.sys
08.12.2005 12:07 16.384 Perflib_Perfdata_60c.dat

----------------------------------------------------------------------

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: C816-1497

Verzeichnis von C:\DOKUME~1\Oneil\LOKALE~1\Temp

12.02.2006 18:19 32.768 ~DF2B68.tmp
12.02.2006 18:19 16.384 ~DF6871.tmp
12.02.2006 18:13 16.384 ~DFE52B.tmp
12.02.2006 18:13 16.384 ~DFD5F1.tmp
23.01.2006 15:36 429 datFind.bat
5 Datei(en) 82.349 Bytes
0 Verzeichnis(se), 1.517.862.912 Bytes frei

-----------------------------------------------------------------------

Verzeichnis von C:\WINNT

12.02.2006 18:18 1.957.083 WindowsUpdate.log
12.02.2006 17:01 130 WATCH.INI
12.02.2006 16:51 32.542 SchedLgU.Txt
12.02.2006 16:50 923.064 ShellIconCache
12.02.2006 15:16 116 NeroDigital.ini
12.02.2006 15:14 192 winamp.ini
12.02.2006 11:49 20.446 ntbtlog.txt
11.02.2006 16:33 754 win.ini
11.02.2006 12:00 3.251 mozver.dat
11.02.2006 11:03 54.156 QTFont.qfn
10.02.2006 16:08 4.554 imsins.log
10.02.2006 16:08 397.035 iis5.log
10.02.2006 16:08 142.063 comsetup.log
10.02.2006 16:08 135.953 ocgen.log
10.02.2006 16:08 9.361 ockodak.log
09.02.2006 21:47 344.125 wmsetup.log
09.02.2006 21:20 99.970 UninstallFirefox.exe
09.02.2006 20:27 1.228 Active Setup Log.txt
09.02.2006 20:09 649 KB896358Uninst.log
08.02.2006 16:17 6.539 setupapi.log
03.02.2006 17:38 1.409 QTFont.for
03.02.2006 17:00 894.198 DESCMDUninst.isu
29.01.2006 12:15 3.495 KB897715-OE6SP1-20050503.210336.log
28.01.2006 19:28 31.511 scunin.dat
28.01.2006 19:28 967 ScUnin.pif
28.01.2006 19:28 69.632 ScUnin.exe
24.01.2006 16:45 4.945 spupdsvc.log
24.01.2006 06:49 34.160 KB893756.log
24.01.2006 06:49 40.467 updspapi.log
24.01.2006 06:49 33.534 KB905414.log
24.01.2006 06:49 15.461 dahotfix.log
24.01.2006 06:49 32.876 KB905749.log
24.01.2006 06:49 32.501 KB901214.log
24.01.2006 06:48 32.841 KB896358.log
24.01.2006 06:48 33.024 KB908523.log
24.01.2006 06:48 32.747 KB902400.log
24.01.2006 06:48 14.772 Q828026.log
24.01.2006 06:48 2.085 vminst.log
24.01.2006 06:48 1.031.358 setupapi.log.0.old
24.01.2006 06:48 22.210 KB901017.log
24.01.2006 06:47 15.425 KB908519.log
24.01.2006 06:47 23.393 KB899587.log
24.01.2006 06:47 21.444 KB896422.log
24.01.2006 06:47 22.815 KB900725.log
24.01.2006 06:47 12.131 KB905915-IE6SP1-20051122.175908.log
24.01.2006 06:47 15.389 KB896424.log
24.01.2006 06:47 15.128 KB912919.log
24.01.2006 06:46 14.127 KB899589.log
24.01.2006 06:46 6.037 KB904706.log
24.01.2006 06:46 5.353 KB885492.log
24.01.2006 06:46 14.271 KB890046.log
24.01.2006 06:46 3.359 KB905495-IE6SP1-20050805.184113.log
23.01.2006 16:49 5.082 KB893803v2.log
23.01.2006 16:49 4.028 KB842773.log
23.01.2006 16:49 105.268 setupact.log
18.01.2006 20:18 0 Ui.INI
31.12.2005 10:26 0 hosts
31.12.2005 10:24 0 tool5.exe
31.12.2005 10:13 0 secure32.html
31.12.2005 10:12 0 country.exe
31.12.2005 10:08 0 uniq
28.12.2005 21:17 15.162 Windows Update.log
28.12.2005 21:15 492 MAXLINK.INI
24.12.2005 20:44 432.639 DirectX.log
21.12.2005 18:44 15.362 Oneil.acl
17.12.2005 19:19 65.536 IFinst27.exe
17.12.2005 10:13 74.361 Omega Drivers v2.6.87.log
17.12.2005 10:11 451.072 Radeon Omega Drivers v2.6.87 Uninstall.exe
06.12.2005 17:59 316.640 WMSysPr9.prx
---------------------------------------------------------------------------
Verzeichnis von C:\

12.02.2006 19:00 0 sys.txt
12.02.2006 18:58 9.165 system.txt
12.02.2006 18:57 508 systemtemp.txt
12.02.2006 18:55 96.931 system32.txt
12.02.2006 16:52 805.306.368 pagefile.sys
11.02.2006 16:32 1.102 INSTALL.LOG
10.02.2006 22:58 65.536 ffastun.ffo
10.02.2006 22:58 4.379 ffastun.ffa
10.02.2006 22:58 319.488 ffastun.ffl
10.02.2006 22:58 917.504 ffastun0.ffx
10.02.2006 16:05 770 devicetable.log
05.11.2005 13:29 1.024 .rnd
13.10.2005 21:08 216.096 ntldr


ich hoffe das dir das was sagt ;)
mfg
fabian
Seitenanfang Seitenende
12.02.2006, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 F4B1J4N

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINNT\system32\SVKP.sys
C:\WINNT\hosts
C:\WINNT\tool5.exe
C:\WINNT\secure32.html
C:\WINNT\country.exe
C:\WINNT\uniq

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

deinstalliere Counterspy
und lade :spysweeper (free)

http://virus-protect.org/spysweeper.html

scanne und poste den scanbericht
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.02.2006, 16:50
...neu hier

Beiträge: 7
#12 16:40: | Start of Session, Montag, 13. Februar 2006 |
16:40: Spy Sweeper started
16:40: Sweep initiated using definitions version 613
16:40: Starting Memory Sweep
16:41: Memory Sweep Complete, Elapsed Time: 00:01:25
16:41: Starting Registry Sweep
16:41: Found Adware: rx toolbar
16:41: HKCR\rxresult.rxresultfilter\ (3 subtraces) (ID = 729537)
16:41: HKCR\rxresult.rxresultfilter\clsid\ (1 subtraces) (ID = 729539)
16:41: HKCR\rxresult.rxresultfilter.1\ (3 subtraces) (ID = 729541)
16:41: HKCR\rxresult.rxresultfilter.1\clsid\ (1 subtraces) (ID = 729543)
16:41: HKCR\rxresult.rxresulttracker\ (3 subtraces) (ID = 729545)
16:41: HKCR\rxresult.rxresulttracker\clsid\ (1 subtraces) (ID = 729547)
16:41: HKCR\rxresult.rxresulttracker.1\ (3 subtraces) (ID = 729549)
16:41: HKCR\rxresult.rxresulttracker.1\clsid\ (1 subtraces) (ID = 729551)
16:41: HKCR\clsid\{59879fa4-4790-461c-a1cc-4ec4de4ca483}\ (8 subtraces) (ID = 729564)
16:41: HKCR\typelib\{05563f82-69a7-40a6-8670-153b635a7ef6}\ (9 subtraces) (ID = 729573)
16:41: HKLM\software\classes\rxresult.rxresultfilter\ (3 subtraces) (ID = 729616)
16:41: HKLM\software\classes\rxresult.rxresultfilter\clsid\ (1 subtraces) (ID = 729618)
16:41: HKLM\software\classes\rxresult.rxresultfilter.1\ (3 subtraces) (ID = 729620)
16:41: HKLM\software\classes\rxresult.rxresultfilter.1\clsid\ (1 subtraces) (ID = 729622)
16:41: HKLM\software\classes\rxresult.rxresulttracker\ (3 subtraces) (ID = 729624)
16:41: HKLM\software\classes\rxresult.rxresulttracker\clsid\ (1 subtraces) (ID = 729626)
16:41: HKLM\software\classes\rxresult.rxresulttracker.1\ (3 subtraces) (ID = 729628)
16:41: HKLM\software\classes\rxresult.rxresulttracker.1\clsid\ (1 subtraces) (ID = 729630)
16:41: HKLM\software\classes\clsid\{59879fa4-4790-461c-a1cc-4ec4de4ca483}\ (8 subtraces) (ID = 729643)
16:41: HKLM\software\classes\typelib\{05563f82-69a7-40a6-8670-153b635a7ef6}\ (9 subtraces) (ID = 729652)
16:41: Found Adware: instafinder
16:41: HKU\WRSS_Profile_S-1-5-21-1844237615-308236825-839522115-500\software\instafink\ (15 subtraces) (ID = 128666)
16:41: Registry Sweep Complete, Elapsed Time:00:00:05
16:41: Starting Cookie Sweep
16:41: Found Spy Cookie: 2o7.net cookie
16:41: oneil@2o7[1].txt (ID = 1957)
16:41: Found Spy Cookie: adtech cookie
16:41: oneil@adtech[2].txt (ID = 2155)
16:41: Found Spy Cookie: atwola cookie
16:41: oneil@atwola[1].txt (ID = 2255)
16:41: Cookie Sweep Complete, Elapsed Time: 00:00:00
16:41: Starting File Sweep
16:41: Found Adware: lopdotcom
16:41: sectsendbore.exe (ID = 90)
16:45: Found Adware: spysheriff fakealert
16:45: secure32.html (ID = 184319)
16:45: bitsmemo.exe (ID = 91)
16:49: Found Adware: altnet
16:49: asmps.dll (ID = 49808)
16:50: File Sweep Complete, Elapsed Time: 00:08:44
16:50: Full Sweep has completed. Elapsed time 00:10:16
16:50: Traces Found: 109
16:54: Removal process initiated
16:54: Quarantining All Traces: lopdotcom
16:54: Quarantining All Traces: spysheriff fakealert
16:54: Quarantining All Traces: altnet
16:54: Quarantining All Traces: instafinder
16:54: Quarantining All Traces: rx toolbar
16:54: Quarantining All Traces: 2o7.net cookie
16:54: Quarantining All Traces: adtech cookie
16:54: Quarantining All Traces: atwola cookie
16:54: Removal process completed. Elapsed time 00:00:02
********
16:37: | Start of Session, Montag, 13. Februar 2006 |
16:37: Spy Sweeper started
16:39: Your spyware definitions have been updated.
16:40: | End of Session, Montag, 13. Februar 2006 |
Seitenanfang Seitenende
13.02.2006, 17:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 nun poste das neue Log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.02.2006, 20:51
...neu hier

Beiträge: 7
#14 hört sich an als wären wir bald fertig ;)



Logfile of HijackThis v1.99.1
Scan saved at 20:55:08, on 13.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
E:\save zeugs\Spyware Doctor\sdhelp.exe
C:\WINNT\system32\stisvc.exe
E:\save zeugs\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\UAService7.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\WINNT\system32\NOTEPAD.EXE
E:\Programme\Skype\Phone\Skype.exe
E:\PROGRA~1\WINZIP\winzip32.exe
E:\save zeugs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SAVEZE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\SAVEZE~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - E:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\SAVEZE~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - E:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [nTrayFw] C:\NVIDIA\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [vga tons software mapi] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BYTEMIXVGATONS\joy chin.exe
O4 - HKLM\..\Run: [SunServer] E:\save zeugs\counter spy\sunserver.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\save zeugs\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [soaplink] C:\DOKUME~1\Oneil\ANWEND~1\CDROMC~1\01 Hope Wait.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft-Indexerstellung.lnk.disabled
O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\1200 CU PLUS\WATCH.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\SAVEZE~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - E:\save zeugs\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - E:\save zeugs\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7431EEF-F6B8-4ED5-B189-C03C6059166D}: NameServer = 192.168.3.1
O20 - Winlogon Notify: WRNotifier - C:\WINNT\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - E:\save zeugs\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\save zeugs\Spy Sweeper\WRSSSDK.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINNT\System32\UAService7.exe
Seitenanfang Seitenende
14.02.2006, 00:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 F4B1J4N

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [vga tons software mapi] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BYTEMIXVGATONS\joy chin.exe
O4 - HKCU\..\Run: [soaplink] C:\DOKUME~1\Oneil\ANWEND~1\CDROMC~1\01 Hope Wait.exe

neustarten


ueberpruefe, ob es wirklich geloescht ist.
dann poste das neue Log vom HijackThis...bitte ohne diese zwei Eintraege ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: