"Warning! Your Computer might be infected with spyware or adware!

02.08.2005, 14:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1

Zitat

Hallo!

Ich hatte vor kurzem auch den Trojaner Puper.G.3, der die Dateien shnlog.exe, intmon.exe, popuper.exe und hpXX.tmp auf meinem Rechner erstellt. Den Trojaner bin ich mittlerweile los, aber diese Schwarzen Bildschirm mit dem Warnheinweis
....." u.s.w. bekomme ich nicht weg. Trotz des Ausführens des Fixme.reg Beitrages. Ich meiner Registry werden die Änderungen sofort wieder geändert. Wenn ich z.B. bei

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

oder bei

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

anstatt eine 1 eine 0 eintrage, ist diese sofert wieder auf 1 geändert. Oder bei Backgrund wird sofort wieder die " 0 0 0 " eingetragen.


Ich hoffe, du kannst mir helfen.....Ich hätte meine Bildschirmeinstellungen und meine Desktopeinstellungen gerne zurück. Bei rechtsklick auf den Desktop habe ich nur noch die Wahl zwischen "Bilschirmschoner" und "Einstellungen". Ich der Systemsteuerung fehlt "Desktop". Ich kann also "Active Desktop" nicht ein-/ausschalten.

Ich habe Windows XP Professional Version 2002 mit Service Pack 2.

Vielen Dank.

Gruß Björke

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 14:06
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hallo@ Björke

ich benoetige folgendes:

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Pfind
http://www.bleepingcomputer.com/files/pfind.php
laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/hier einfügen


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 17:49
...neu hier

Beiträge: 3
#3 Hi Sabina
ich hab das selbe auf dem PC mit "warning....etc"
hab alles gemacht wie du es geschrieben hast....
hier meine logs....
btw omg ist das viel X-x

danke im vorraus

greetz LOD
_________________________________________________________________
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"msnappau" = ""C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"" [MS]
"intell32.exe" = "C:\WINDOWS\System32\intell32.exe" [null data]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"AVGCtrl" = ""C:\Programm\Tools\Antivir\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{316AEF8D-3C37-423E-9E6E-13820A9DC37A}\(Default) = "Farstone Url Blocker"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\STOMPS~1\FIREWA~1\IrlOnIE.dll" [file not found]
{758DF004-D241-4FAF-8E5A-0C687EE4F55D}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\djcd.dll" [null data]
{9394EDE7-C8B5-483E-8773-474BF36AF6E4}\(Default) = "ST" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll" [MS]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = "MSNToolBandBHO" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! tcpGDC\DLLName = "tcpGDC.dll" [file not found]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/html\CLSID = "{7233142D-EBB7-4C71-9590-12389154BE74}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\djcd.dll" [null data]
INFECTION WARNING! text/plain\CLSID = "{7233142D-EBB7-4C71-9590-12389154BE74}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\djcd.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programm\Tools\Antivir\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programm\Tools\Antivir\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Desktop tab}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\System32\\wppp.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmyst.scr" [MS]


Startup items in "Christopher" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"InterVideo WinCinema Manager" -> shortcut to: "C:\Programm\Tools\Common\Bin\WinCinemaMgr.exe" [empty string]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"T-COM WLAN Manager T-Sinus 154data" -> shortcut to: "C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe" [empty string]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programm\Tools\Antivir\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programm\Tools\Antivir\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 145 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 34 seconds.
---------- (total run time: 259 seconds)
_________________________________________________________________
C:\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\intell32.exe: UPX!
C:\WINDOWS\system32\oleext.dll: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\intell32.exe: UPX!
C:\WINDOWS\system32\oleext.dll: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\cheatspur[chp-10278,1,1].exe: UPX!
C:\WINDOWS\testedich[teh-10548,1,start2].exe: UPX!
C:\WINDOWS\uninstIU.exe: UPX!
Finished
bye
_________________________________________________________________
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 02.08.2005 16:58:26 954 C:\log.txt
PEC2 02.08.2005 16:58:26 954 C:\log.txt
UPX! 02.08.2005 16:43:36 78 C:\start.txt
UPX! 02.08.2005 16:52:20 294 C:\win.txt
PEC2 02.08.2005 16:52:20 294 C:\win.txt
UPX! 02.08.2005 16:57:48 130 C:\windows.txt

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 07.05.2005 17:29:30 94459 C:\WINDOWS\cheatspur[chp-10278,1,1].exe
UPX! 02.04.2005 17:36:54 108283 C:\WINDOWS\testedich[teh-10548,1,start2].exe
UPX! 02.08.2005 01:20:00 3072 C:\WINDOWS\uninstIU.exe

Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 02.08.2005 01:19:54 6144 C:\WINDOWS\SYSTEM32\intell32.exe
UPX! 23.08.2004 19:15:08 23552 C:\WINDOWS\SYSTEM32\oleext.dll
Umonitor 18.08.2001 14:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Checking the Windows folder for system and hidden files within the last 60 days...
04.07.2005 13:56:08 0 C:\WINDOWS\inf\oem3.inf
02.08.2005 16:20:42 20480 C:\WINDOWS\system32\config\default.LOG
02.08.2005 12:14:24 0 C:\WINDOWS\system32\config\default_TU_50544.LOG
02.08.2005 16:20:44 1024 C:\WINDOWS\system32\config\SAM.LOG
02.08.2005 12:14:24 0 C:\WINDOWS\system32\config\SAM_TU_81883.LOG
02.08.2005 16:20:32 8192 C:\WINDOWS\system32\config\SECURITY.LOG
02.08.2005 12:14:22 0 C:\WINDOWS\system32\config\SECURITY_TU_22005.LOG
02.08.2005 16:41:04 73728 C:\WINDOWS\system32\config\software.LOG
02.08.2005 12:14:22 0 C:\WINDOWS\system32\config\software_TU_46782.LOG
02.08.2005 16:19:34 1024 C:\WINDOWS\system32\config\system.LOG
02.08.2005 12:14:24 0 C:\WINDOWS\system32\config\system_TU_17722.LOG
02.08.2005 17:20:44 2496 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\Desktop.htt
19.07.2005 13:20:52 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\c8cd382d-1577-4844-b0f4-05343bc0d163
19.07.2005 13:20:52 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
02.08.2005 16:19:30 6 C:\WINDOWS\Tasks\SA.DAT

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
22.05.2005 19:02:04 1777 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
05.06.2004 16:54:00 1711 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
22.04.2004 00:14:44 1754 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
21.04.2004 22:43:16 2077 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\T-COM WLAN Manager T-Sinus 154data.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programm\Tools\Antivir\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programm\Tools\Antivir\AVShlExt.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{316AEF8D-3C37-423E-9E6E-13820A9DC37A}
EyeOnIE Class = C:\PROGRA~1\STOMPS~1\FIREWA~1\IrlOnIE.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{758DF004-D241-4FAF-8E5A-0C687EE4F55D}
= C:\WINDOWS\System32\djcd.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9394EDE7-C8B5-483E-8773-474BF36AF6E4}
ST = C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}
MSNToolBandBHO = C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = MSN : C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
msnappau "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
intell32.exe C:\WINDOWS\System32\intell32.exe
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize
AVGCtrl "C:\Programm\Tools\Antivir\AVGNT.EXE" /min
sp rundll32 C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\se.dll,DllInstall

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
NoActiveDesktopChanges 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
NoDispAppearancePage 1
NoDispBackgroundPage 1


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpGDC
= tcpGDC.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.2.8 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 02.08.2005 17:21:11
_________________________________________________________________cmd
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8B7-566D

Verzeichnis von C:\WINDOWS\system32

02.08.2005 17:28 1.622 wppp.html
02.08.2005 13:57 0 h323log.txt
02.08.2005 01:19 6.144 intell32.exe
02.08.2005 01:19 39.936 djcd.dll
29.07.2005 22:07 2.184 wpa.dbl
01.07.2005 16:56 1.740 d3d8caps.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8B7-566D

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

02.08.2005 17:25 30.975 jusched.log
02.08.2005 16:18 18.432 se.dll
02.08.2005 15:30 305 kb.log
02.08.2005 15:24 11.554 GRD$LOGFILE.LOG
02.08.2005 14:57 12.393 temp.fr4920
02.08.2005 12:24 239 INDEX.INI
02.08.2005 04:29 5.166 temp.fr2C4F
02.08.2005 01:49 12.726 temp.frAE57
02.08.2005 01:23 5.310 plf18.tmp
02.08.2005 01:19 18.198 pbdg.exe
01.08.2005 15:14 717 control.xml
27.07.2005 15:43 4.592 SIntfIcn.ani
27.07.2005 15:42 22.068 SIntfNT.dll
27.07.2005 15:42 17.324 SIntf32.dll
27.07.2005 15:42 12.305 SIntf16.dll
27.07.2005 15:42 40.448 CmdLineExt03.dll
27.06.2005 19:17 1.198.280 Patch_MSN_Messenger.EXE

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8B7-566D

Verzeichnis von C:\WINDOWS

02.08.2005 17:25 0 0.log
02.08.2005 17:25 1.796.848 WindowsUpdate.log
02.08.2005 17:25 2.048 bootstat.dat
02.08.2005 17:24 197.156 ntbtlog.txt
02.08.2005 16:19 32.626 SchedLgU.Txt
02.08.2005 15:35 227 system.ini
02.08.2005 15:35 711 win.ini
02.08.2005 15:24 18.560 svcpack.log
02.08.2005 15:22 657.719 setupapi.log
02.08.2005 11:35 1.471 WINCMD.INI
02.08.2005 01:19 3.072 uninstIU.exe
01.08.2005 15:30 50 wiaservc.log
01.08.2005 15:30 215 wiadebug.log
01.08.2005 15:14 176.298 wmsetup.log
07.07.2005 18:44 53 Directx.log
01.07.2005 15:32 219.358 iis6.log
01.07.2005 15:32 60.966 comsetup.log
01.07.2005 15:32 35.389 ntdtcsetup.log
01.07.2005 15:32 73.743 tsoc.log
01.07.2005 15:32 1.891 imsins.log
01.07.2005 15:32 5.856 ocmsn.log
01.07.2005 15:32 69.948 ocgen.log
01.07.2005 15:32 7.696 msgsocm.log
01.07.2005 15:32 148.164 FaxSetup.log
01.07.2005 15:31 51.044 msmqinst.log
01.07.2005 15:25 174.275 setupact.log
01.07.2005 15:25 0 setuperr.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8B7-566D

Verzeichnis von C:\

02.08.2005 17:40 0 sys.txt
02.08.2005 17:38 972 systemtemp.txt
02.08.2005 17:36 1.338 systemp.txt
02.08.2005 17:34 1.430 system1.txt
02.08.2005 17:33 6.114 system.txt
02.08.2005 17:32 406 system32....txt
02.08.2005 17:28 89.717 system32.txt
02.08.2005 17:25 268.029.952 hiberfil.sys
02.08.2005 17:25 402.653.184 pagefile.sys
02.08.2005 16:58 954 log.txt
02.08.2005 16:57 130 windows.txt
02.08.2005 16:52 294 win.txt
02.08.2005 16:43 78 start.txt
02.08.2005 16:15 210.671 WinPFind.zip
02.08.2005 16:10 9.724 Startup Programs (KID-HARDWARE) 2005-08-02 16.05.47.txt
02.08.2005 16:06 18.335 rkfiles.zip
02.08.2005 16:05 278.897 Silent Runners.vbs
02.08.2005 15:37 213.229 HijackThis.zip
02.08.2005 15:35 194 boot.ini
02.08.2005 15:24 42.819 KillBox.zip
08.07.2005 17:00 949 D2050708.txt
Seitenanfang Seitenende
02.08.2005, 18:23
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 L.O.D.

scanne
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

--------------------------------------------------------------------
START-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

loeschen:
tcpGDC
= tcpGDC.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

loeschen:
msnappau "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"

loeschen:
intell32.exe C:\WINDOWS\System32\intell32.exe

----------------------------------------------------------------------------

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\wppp.html
C:\WINDOWS\system32\intell32.exe
C:\WINDOWS\SYSTEM32\oleext.dll
C:\WINDOWS\SYSTEM32\oleext32.dll
C:\WINDOWS\SYSTEM32\tcpGDC.dll
C:\WINDOWS\cheatspur[chp-10278,1,1].exe
C:\WINDOWS\testedich[teh-10548,1,start2].exe
C:\WINDOWS\uninstIU.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\pbdg.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\plf18.tmp

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.



Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-
"Wallpaper"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.




CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Lade Ewido von dieser Seite --> poste das Log vom Scan
http://virus-protect.org/antivirenfree.html


HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einen Ordner

*None of the above just start the program
*Save
*Savelog
*es öffnet sich der Editor

oder:

*Do a system scan and save a logfile
*Save
*Savelog
*es öffnet sich der Editor

*nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 20:36
...neu hier

Beiträge: 3
#5 so also erstmal danke hat geklappt <3

die Logfiles......

____________________________________________________________
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:31:08, 02.08.2005
+ Report-Checksumme: C5C9D43B

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Weborama : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Inet-cash : Gesäubert mit Backup
:mozilla.26:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.46:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.49:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.71:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.71i : Gesäubert mit Backup
:mozilla.93:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.95:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Xhit : Gesäubert mit Backup
:mozilla.96:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Xhit : Gesäubert mit Backup
:mozilla.99:C:\Dokumente und Einstellungen\Denise\Anwendungsdaten\Mozilla\Firefox\Profiles\q5fq6xns.default\cookies.txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@addcontrol[1].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@e-2dj6wfkyqlcjwlp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@e-2dj6wfmykpajahq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@e-2dj6wjk4qpc5gfo.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@e-2dj6wjk4ugdzoep.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@e-2dj6wjkokmczokp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@orf.oewabox[1].txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@srv1.ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Cookies\denise@weborama[2].txt -> Spyware.Cookie.Weborama : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Finger[1].zip\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für Finger[1].zip\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für Finger[1].zip\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Denise\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für Finger[1].zip\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup


::Report Ende::

------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:34:57, on 02.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programm\Tools\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programm\Tools\Common\Bin\WinCinemaMgr.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programm\Tools\Antivir\AVGUARD.EXE
C:\Programm\Tools\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla1.7.10\mozilla.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Farstone Url Blocker - {316AEF8D-3C37-423E-9E6E-13820A9DC37A} - C:\PROGRA~1\STOMPS~1\FIREWA~1\IrlOnIE.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programm\Tools\Antivir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programm\Tools\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093356651571
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programm\Tools\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programm\Tools\Antivir\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
02.08.2005, 21:29
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#6 Hallo@L.O.D.

es ist alles in Ordnung, das hast du gut und schnell gemacht ;)

Ich empfehle dir dringendst die WindowsUpdates zu machen, wo du die WindowsUpdates-->SP2 laedst, weisst du ja bestimmt ;)

---------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: Farstone Url Blocker - {316AEF8D-3C37-423E-9E6E-13820A9DC37A} - C:\PROGRA~1\STOMPS~1\FIREWA~1\IrlOnIE.dll (file missing)

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.08.2005, 00:42
...neu hier

Beiträge: 3
#7 Gut O-O

lag nur an deiner guten hilfe bzw. anleitung ^_^
dangö dafür

btw sorry für doppelpost.......... v,v
Dieser Beitrag wurde am 03.08.2005 um 00:46 Uhr von L.O.D. editiert.
Seitenanfang Seitenende
26.09.2005, 21:09
...neu hier

Beiträge: 2
#8 Hallo!

Ich habe auch das Problem mit dem schwarzen hintergrund und dem Text "Warning! Your computer is might be infected...". Des weiteren fehlt mir der Reiter Bildschirmhintergrund in Systemsteuerung Anzeige. Und alle 10min kommt die Meldung "Active Desktop -HTML Datei nicht gefunden...".

Wenn mir also jemand erklären könnte wie ich das wieder los werde. Vielen Dank!

liebe Grüße
Thomas
Seitenanfang Seitenende
26.09.2005, 23:20
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#9 Hallo@Jacoby

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

HijackThis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

kopiere hier die 4 logs, die netstehen, wenn sich der Texteditor oeffnet.
http://virus-protect.org/datfindbat.html

silentrunner (alles posten, bitte)
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.09.2005, 10:29
...neu hier

Beiträge: 2
#10 Hallo!

Bin leider nicht so der Pro am PC also bitte ich um etwas geduld mit mir ...:

Hab das Programm Blacklight BETA über den von dir angeführten link downgeloadet und den SCAN ausgeführt. Es kommt die Meldung "No hidden Items found". Danach bin ich auf NEXT gegangen, finde nun jedoch keine Text Datei auf meinem Desktop.

Und was wäre dann der "Thread" wo dich diese Datei hinkopieren müsste?!

Vielen herzlichen Dank!

Liebe Grüße
Thomas
Seitenanfang Seitenende
27.09.2005, 10:31
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#11 die Textdatei ist bei mir auf dem Desktop aufgetaucht.....gleich neben dem Symbol vom Scanner, als ich das Programm geschlossen habe.
Der Thread hier...das ist deiner, also alles, was wir hier schreiben, ist ein Thread ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.10.2005, 03:36
...neu hier

Beiträge: 8
#12 Hi! Auch mein Komputer ist infiziert mit diesem Trojaner! Ich würde demjenigen, der mir hilft den Trojaner und diesen Hintergrund " Your computer might be infected with spyware or adware !!!"loszuwerden, sehr dankbar sein!

Dacer

Logfile of HijackThis v1.99.1
Scan saved at 3:22:40, on 15-10-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\temp\salm.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
C:\Program Files\Jmquoo\Cbmhcr.exe
C:\WINDOWS\system32\svcnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\??oolsv.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\StarOffice6.0\program\soffice.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\intmonp.exe
C:\Program Files\eMule.de\emule.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\LogFiles\A10101600.so
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Computer\Local Settings\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocsv.dll/blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpC196.tmp
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hen] C:\WINDOWS\hen.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [removecpl] RemoveCpl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [afit] C:\WINDOWS\afit.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Preventon RealTime Antivirus] C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
O4 - HKLM\..\Run: [Qyiktgn] C:\Program Files\Jmquoo\Cbmhcr.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunOnce: [SahUpgrade] C:\DOCUME~1\Computer\LOCALS~1\Temp\SahUpdate\update.exe iteration3 -setup4030 -gah95on6
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Xohm] C:\WINDOWS\System32\??oolsv.exe
O4 - Startup: StarOffice 6.0.lnk = C:\Program Files\StarOffice6.0\program\quickstart.exe
O4 - Startup: VoipBuster.lnk = C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.tl81.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.tl81.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c8.cab
O20 - Winlogon Notify: style32 - C:\WINDOWS\q6456954.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sg
Seitenanfang Seitenende
15.10.2005, 15:15
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#13 Hallo@Dacer

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocsv.dll/blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpC196.tmp
O4 - HKLM\..\Run: [hen] C:\WINDOWS\hen.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [removecpl] RemoveCpl.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [afit] C:\WINDOWS\afit.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Qyiktgn] C:\Program Files\Jmquoo\Cbmhcr.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\RunOnce: [SahUpgrade] C:\DOCUME~1\Computer\LOCALS~1\Temp\SahUpdate\update.exe iteration3 -setup4030 -gah95on6
O4 - HKCU\..\Run: [Xohm] C:\WINDOWS\System32\??oolsv.exe
O15 - Trusted Zone: *.tl81.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.tl81.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c8.cab
O20 - Winlogon Notify: style32 - C:\WINDOWS\q6456954.dll

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Datfinbad - abarbeiten und alle 4 Logs in den Thread kopieren (mit Pfad)--> 3 Monate vom Datum her
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

Winpfind
http://virus-protect.org/winpfind.html

--------------

Zitat

Sammlung (ist fuer mich) ;)
C:\Program Files\Media Access\MediaAccK.exe
C:\temp\salm.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Jmquoo\Cbmhcr.exe
C:\WINDOWS\system32\svcnt.exe
C:\WINDOWS\System32\ctfmon.exe (?)
C:\WINDOWS\System32\??oolsv.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\LogFiles\A10101600.so
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmon.exe
C:\WINDOWS\q6456954.dll
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\intell32.exe
C:\WINDOWS\afit.exe
C:\WINDOWS\System32\hpC196.tmp
shdocsv.dll


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2005, 14:13
...neu hier

Beiträge: 8
#14 Vielen Dank, Sabina.. Ich bin dabei es so zu machen wie du erklärt hast.

16-10-2005 11:42 4.608 hhk.dll
16-10-2005 11:42 2.560 intmon.exe
16-10-2005 11:42 53.248 hp49A9.tmp
16-10-2005 11:42 2.560 intmonp.exe
15-10-2005 17:09 602.112 oleext32.dll
15-10-2005 17:00 53.248 hp4836.tmp
15-10-2005 16:55 3.222 gah95on6.ini
15-10-2005 12:20 0 psd2p380.html
15-10-2005 12:19 53.248 hp9378.tmp
15-10-2005 11:52 53.248 hp48F4.tmp
15-10-2005 11:19 53.248 hp4583.tmp
15-10-2005 11:14 53.248 hp480E.tmp
15-10-2005 10:51 53.248 hp4F0F.tmp

15-10-2005 10:51 68 .ini
15-10-2005 02:27 32.995 shnlog.exe
15-10-2005 02:27 53.248 hpC196.tmp
15-10-2005 02:26 6.656 intell32.exe
15-10-2005 02:26 4.286 ot.ico
15-10-2005 02:26 1.389 ole32vbs.exe
15-10-2005 02:26 4.286 ts.ico
15-10-2005 02:25 7.469 msole32.exe
15-10-2005 02:25 5.489 msmsgs.exe
15-10-2005 00:41 4.040 p1fumi62.dat
15-10-2005 00:40 2.206 wpa.dbl
08-10-2005 12:38 35.448 kdlmjh8r.dat
08-10-2005 12:38 191.792 tm97pj39.dat
08-10-2005 12:37 93 LuResult.txt
11-09-2005 10:47 2.764 b315cfed.dat

14-08-2005 09:54 7.173 ERRORLOG.TXT
02-07-2005 03:02 22.528 shdocsv.dll
02-07-2005 03:02 36.352 svcnt.exe


16-10-2005 11:53 65.536 ~DF55EE.tmp
16-10-2005 11:42 16.384 ~DF8E5D.tmp
16-10-2005 11:42 206 jusched.log
15-10-2005 17:40 16.384 ~DF96CD.tmp

16-10-2005 13:44 49 NeroDigital.ini
16-10-2005 11:44 0 0.log
16-10-2005 11:42 2.048 bootstat.dat
15-10-2005 17:41 32.426 SchedLgU.Txt
15-10-2005 17:05 1.281.656 setupapi.log
15-10-2005 12:19 70.656 adsldpbc.dll
15-10-2005 11:52 0 kipkul.qym
15-10-2005 11:19 0 bavoau.qto
15-10-2005 11:14 0 hljhgv.fao
15-10-2005 10:52 0 adcllc.jdr
15-10-2005 02:27 1.031.680 x74ca5e40.tmp
15-10-2005 02:27 70.144 q6456954.dll
15-10-2005 02:27 0 pkkjje.toy
15-10-2005 02:26 3.072 uninstIU.exe
15-10-2005 02:26 1.668 warnhp.html
15-10-2005 02:25 1.640 sites.ini
15-10-2005 02:25 17.197 popuper.exe

09-10-2005 11:46 14.472 LUINSTALL.LOG
13-09-2005 22:43 8.833 SYMEVENT.LOG
04-09-2005 15:17 179.120 setupact.log
06-08-2005 03:11 216 wiadebug.log
06-08-2005 03:11 48 wiaservc.log
05-05-2005 16:52 94.208 afit.exe

16-10-2005 14:14 0 sys.txt
16-10-2005 14:12 5.835 system.txt
16-10-2005 14:12 434 systemtemp.txt
16-10-2005 14:11 93.699 system32.txt
16-10-2005 11:42 402.653.184 pagefile.sys
03-07-2005 22:21 39.045 hpfr3740.log
20-11-2004 20:03 2.129.920 crash.txt
06-11-2004 00:49 117 a.reg
05-10-2004 15:43 0 IO.SYS
05-10-2004 15:43 0 MSDOS.SYS
05-10-2004 15:43 0 CONFIG.SYS
05-10-2004 15:36 194 boot.ini
11-09-2002 12:00 235.296 ntldr
11-09-2002 12:00 4.952 Bootfont.bin
11-09-2002 12:00 47.580 NTDETECT.COM
Dieser Beitrag wurde am 16.10.2005 um 14:15 Uhr von Dacer editiert.
Seitenanfang Seitenende
16.10.2005, 17:40
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#15 Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

Winpfind
http://virus-protect.org/winpfind.html

dann beginnt die Reinigung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende