unerwünschte Toolbar |
|
---|---|
16.12.2005, 11:53
Ehrenmitglied
Beiträge: 29434 |
|
|
|
16.12.2005, 14:33
...neu hier
Beiträge: 4 |
#17
Hallo Sabina,
nachfolgend die Ergebnisse. Mit cleanup habe ich ein Problem. Ich habe alle Einstellungen so vorgenommen, wie auf der Seite beschrieben. Nach dem gefordertem Neustart bleibt das System irgendwie hängen. Benutzeranmeldung, Beginn laden der Einstellungen, mehrere Desktopicon werden nicht mehr geladen und dann ist eine Art Stillstand. Der Taskmanager zeigt 99% Leerlauf. Versuch die Anzeigeeigenschaften aufzurufen, kommt nur noch die Eieruhr. Wenn ich das System dann erneut starte, funktioniert es wieder, denke aber, dass dann auch cleanup verworfen wurde. Ich habe es im abgesicherten und normalen Modus versucht. (Systemwiederherstellung deaktiviert). Was mache ich falsch? hier die anderen Ergebnisse: blbeta 12/16/05 13:14:27 [Info]: BlackLight Engine 1.0.30 initialized 12/16/05 13:14:27 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/16/05 13:14:28 [Note]: 7019 4 12/16/05 13:14:28 [Note]: 7005 0 12/16/05 13:14:36 [Note]: 7006 0 12/16/05 13:14:36 [Note]: 7011 1676 12/16/05 13:14:36 [Note]: FSRAW library version 1.7.1014 12/16/05 13:15:03 [Info]: Hidden file: C:\Programme\CyberLink DVD Solution\PowerDVD\cltest.exe 12/16/05 13:15:03 [Note]: 10002 1 12/16/05 13:15:18 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 12/16/05 13:15:18 [Note]: 10002 1 12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\csvme.exe 12/16/05 13:15:22 [Note]: 7002 32 12/16/05 13:15:22 [Note]: 7003 1 12/16/05 13:15:22 [Note]: 10002 1 12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\dmvvs.exe 12/16/05 13:15:22 [Note]: 7002 32 12/16/05 13:15:22 [Note]: 7003 1 12/16/05 13:15:22 [Note]: 10002 1 12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 12/16/05 13:15:22 [Note]: 10002 1 12/16/05 13:15:24 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe 12/16/05 13:15:25 [Note]: 10002 1 12/16/05 13:17:53 [Note]: 7007 0 sys.txt 16.12.2005 14:14 0 sys.txt 16.12.2005 14:14 11.359 system.txt 16.12.2005 14:13 132 systemtemp.txt 16.12.2005 14:12 97.216 system32.txt 16.12.2005 14:08 535.351.296 hiberfil.sys 16.12.2005 14:08 805.306.368 pagefile.sys 15.12.2005 16:05 9.903 reflist.dll 15.12.2005 15:32 1.114 smitfiles.txt 12.10.2005 19:51 2.831 AboutBuster 5.1.txt 12.10.2005 19:34 102.400 AboutBuster.exe 10.04.2005 20:44 211 boot.ini 10.04.2005 20:36 47.564 NTDETECT.COM 10.04.2005 20:36 251.184 ntldr system.txt 16.12.2005 14:09 0 0.log 16.12.2005 14:09 1.248.863 WindowsUpdate.log 16.12.2005 14:09 159 wiadebug.log 16.12.2005 14:09 50 wiaservc.log 16.12.2005 14:08 2.048 bootstat.dat 16.12.2005 14:04 864.044 ntbtlog.txt 16.12.2005 13:59 32.638 SchedLgU.Txt 16.12.2005 13:55 1.315 wincmd.ini 15.12.2005 15:51 612.095 setupapi.log 15.12.2005 15:32 213.265 setupact.log 15.12.2005 14:57 763 win.ini 15.12.2005 09:48 126.779 ntdtcsetup.log 15.12.2005 09:48 243.724 tsoc.log 15.12.2005 09:48 97.212 iis6.log 15.12.2005 09:48 1.393 imsins.log 15.12.2005 09:48 204.200 comsetup.log 15.12.2005 09:48 24.992 ocmsn.log 15.12.2005 09:48 9.854 KB910437.log 15.12.2005 09:48 318.533 ocgen.log 15.12.2005 09:48 31.217 msgsocm.log 15.12.2005 09:48 616.192 FaxSetup.log 15.12.2005 09:48 22.237 updspapi.log 15.12.2005 09:48 1.393 imsins.BAK 15.12.2005 09:48 15.761 KB905915.log 14.12.2005 21:05 202 NeroDigital.ini 14.12.2005 20:40 10.208 ModemLog_Smart Link 56K Modem.txt 11.12.2005 10:20 785 SynInst.log 07.12.2005 07:50 231.339 wmsetup.log 22.11.2005 14:33 316.640 WMSysPr9.prx 10.11.2005 18:50 11.802 KB896424.log systemtemp.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 68C6-5C58 Verzeichnis von C:\DOKUME~1\Chef\LOKALE~1\Temp system32.txt 15.12.2005 14:58 0 asfiles.txt 15.12.2005 14:54 2.550 Uninstall.ico 15.12.2005 14:54 1.406 Help.ico 15.12.2005 14:54 1.718 Open.ico 15.12.2005 14:54 5.350 IE.ico 15.12.2005 14:54 9.470 Desktop.ico 15.12.2005 14:54 1.718 Quick.ico 15.12.2005 13:10 2.126 wpa.dbl 14.12.2005 21:05 45.568 Thumbs.db 13.12.2005 22:40 302.621 SetupCarnival.exe 13.12.2005 22:40 4 winsub.xml 13.12.2005 22:40 60 svcp.csv 09.12.2005 01:21 2.723.680 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 10.11.2005 18:53 242.328 FNTCACHE.DAT 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 30.10.2005 22:09 381.294 perfh009.dat 30.10.2005 22:09 392.184 perfh007.dat 30.10.2005 22:09 53.708 perfc009.dat 30.10.2005 22:09 64.586 perfc007.dat 30.10.2005 22:09 900.506 PerfStringBackup.INI |
|
|
17.12.2005, 01:20
...neu hier
Beiträge: 4 |
#18
Hallo ihr Lieben, leider habe auch ich das Problem mit der unerwünschten toolbar. Ich bin nicht sehr bewandert, habe aber zumindest verstanden, mit hijackthis ein logfile (was ist das?) zu erstellen. Das kopiere ich jetzt hier rein. Ich würde mich freuen, wenn mir jemand helfen könnte. Vielen Dank im voraus, es grüßt Cachito.
Logfile of HijackThis v1.99.1 Scan saved at 01:18:23, on 17.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\WinTV\Ir.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Gert Baumhauer\Desktop\hijackthis[1]\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluecafe-musik.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82 O17 - HKLM\System\CCS\Services\Tcpip\..\{586A287B-562A-4D83-8EF9-5BEC869D40AC}: NameServer = 85.255.114.20,85.255.112.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe |
|
|
17.12.2005, 09:27
Ehrenmitglied
Beiträge: 29434 |
#19
pitti
gehe in die registry start-->ausfuehren--> regedit HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Security"<--loeschen "Source" = "C:\WINDOWS\desktop.html""<--loeschen "SubscribedURL" = "C:\WINDOWS\desktop.html""<--loeschen ----------------------------------------------------------------------- doppelklick: blbeta.exe klicke auf "next" --> Step 2 --> Cleaning ...benenne um in *ren: dann boote den PC...dann muesste alles umbenannt sein in *ren) nur diese exe umbenennen: 12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\csvme.exe 12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\dmvvs.exe 12/16/05 13:15:22 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 12/16/05 13:15:24 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe loeschen: Killbox: http://virus-protect.org/killbox.html C:\WINDOWS\system32\csjqe.exe C:\WINDOWS\system32\dmimu.exe C:\WINDOWS\system32\SetupCarnival.exe C:\WINDOWS\system32\winsub.xml C:\WINDOWS\system32\svcp.csv ---------------------------------------------------------------------- Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html c:\reflist.dll -------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken Zitat REGEDIT4in den abgesicherten modus booten und die reg der registry beifuegen SCANNE MIT DR.WEB http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
17.12.2005, 19:09
...neu hier
Beiträge: 4 |
#20
Hallo Sabina,
vielen Dank für die Unterstützung. Ich kann zwar nicht nachvollziehen, welchen Wundermittel hier gekocht wurden, aber ich finde es toll. Hier nun das Ergebnis: This is a report processed by VirusTotal on 12/17/2005 at 17:21:53 (CET) after scanning the file "reflist.dll" file. Antivirus Version Update Result AntiVir 6.33.0.61 12.16.2005 no virus found Avast 4.6.695.0 12.16.2005 no virus found AVG 718 12.15.2005 no virus found Avira 6.33.0.61 12.16.2005 no virus found BitDefender 7.2 12.17.2005 no virus found CAT-QuickHeal 8.00 12.17.2005 no virus found ClamAV devel-20051108 12.16.2005 no virus found DrWeb 4.33 12.16.2005 no virus found eTrust-Iris 7.1.194.0 12.17.2005 no virus found eTrust-Vet 12.3.3.0 12.16.2005 no virus found Fortinet 2.54.0.0 12.17.2005 no virus found F-Prot 3.16c 12.15.2005 no virus found Ikarus 0.2.59.0 12.17.2005 no virus found Kaspersky 4.0.2.24 12.17.2005 no virus found McAfee 4652 12.16.2005 no virus found NOD32v2 1.1327 12.17.2005 no virus found Norman 5.70.10 12.16.2005 no virus found Panda 8.02.00 12.17.2005 no virus found Sophos 4.01.0 12.17.2005 no virus found Symantec 8.0 12.17.2005 no virus found TheHacker 5.9.1.057 12.16.2005 no virus found VBA32 3.10.5 12.16.2005 no virus found ----------------------------------------- Ich habe zwar immer noch das Gefühl, dass bei jedem Start neue Dateien hinzukommen. mit Dr.Web habe ich wieder Dateien vorgefunden, die ich glaubte entfernt zu haben. Und noch eine Frage zum Schluss, warum findet der normale Virenscanner (z. Bsp. Antivir) das nicht? Es scheint ja kein Unbekannter zu sein und ich habe mich bisher immer ein wenig darauf verlassen. MfG pitti |
|
|
18.12.2005, 20:04
...neu hier
Beiträge: 4 |
#21
Hallo, ich habe auf meine Frage von gestern, 17.12. leider keine Reaktion bekommen. Kann ich noch etwas tun, um Hilfe zu erhalten oder soll ich einfach noch abwarten? Gruß vom hoffentlich nicht zu ungeduldigen Cachito!
|
|
|
18.12.2005, 20:23
Ehrenmitglied
Beiträge: 29434 |
#22
cachito
Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread wende CleanUp an (genau , wie auf der Seite erklaert) http://virus-protect.org/cleanup.html kopiere die 4 Textdateien (2 Monate vom Datum her reichen) http://virus-protect.org/datfindbat.html + Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
18.12.2005, 20:25
Ehrenmitglied
Beiträge: 29434 |
#23
pitti
scanne mit kaspersky und poste den scanbericht http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
19.12.2005, 00:30
...neu hier
Beiträge: 4 |
#24
Hallo Sabina, danke für deine Hilfe. Ich habe die Textdatei auf meinem Desktop. Was heißt aber: kopiere sie in deinen Thread? Was ist ein Thread? Sorry, ich kenne mich nicht so gut aus, kopiere mal hier rein. Gruß Cachito
12/19/05 00:27:19 [Info]: BlackLight Engine 1.0.30 initialized 12/19/05 00:27:19 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/19/05 00:27:19 [Note]: 7019 4 12/19/05 00:27:19 [Note]: 7005 0 12/19/05 00:27:30 [Note]: 7006 0 12/19/05 00:27:30 [Note]: 7011 1300 12/19/05 00:27:30 [Note]: FSRAW library version 1.7.1014 12/19/05 00:28:03 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 12/19/05 00:28:03 [Note]: 10002 1 12/19/05 00:28:05 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe 12/19/05 00:28:05 [Note]: 10002 1 12/19/05 00:28:06 [Info]: Hidden file: C:\WINDOWS\system32\csrfb.exe 12/19/05 00:28:06 [Note]: 7002 32 12/19/05 00:28:06 [Note]: 7003 1 12/19/05 00:28:06 [Note]: 10002 1 12/19/05 00:28:07 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 12/19/05 00:28:07 [Note]: 10002 1 12/19/05 00:28:10 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe 12/19/05 00:28:10 [Note]: 10002 1 12/19/05 00:29:21 [Note]: 7007 0 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CFB-7D17 Verzeichnis von C:\WINDOWS\system32 19.12.2005 00:43 4.984 close.bmp 19.12.2005 00:43 19.712 insurance.bmp 19.12.2005 00:43 11.772 spyware.bmp 19.12.2005 00:43 21.224 xxx.bmp 19.12.2005 00:43 21.872 pharmacy.bmp 19.12.2005 00:43 21.872 dating.bmp 19.12.2005 00:43 23.480 gambling.bmp 19.12.2005 00:43 387 idesk.conf 17.12.2005 00:03 13.738 wpa.dbl 11.12.2005 19:26 155.648 plvtx.dll 07.12.2005 13:38 2.714.976 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 09.11.2005 20:06 330.688 FNTCACHE.DAT 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 04.11.2005 16:27 534.280 LegitCheckControl.DLL 30.10.2005 20:44 315.850 perfh009.dat 30.10.2005 20:44 41.508 perfc009.dat 30.10.2005 20:44 321.606 perfh007.dat 30.10.2005 20:44 50.046 perfc007.dat 30.10.2005 20:44 736.868 PerfStringBackup.INI 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 55.808 extmgr.dll 21.10.2005 04:40 251.392 iepeers.dll 21.10.2005 04:40 205.312 dxtrans.dll 20.10.2005 23:25 1.094.144 esent.dll 13.10.2005 00:11 15.584 spmsg.dll 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "desktop" = "C:\WINDOWS\system32\idemlog.exe" [empty string] "UnSpyPC" = ""C:\Programme\UnSpyPC\UnSpyPC.exe"" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" ["HP"] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "SO5 Integrator Pass Two" = "C:\WINDOWS\SOINTGR.EXE" [null data] "ABBYY Community Agent" = "C:\Programme\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe" ["ABBYY (BIT Software)"] "AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "dmrah.exe" = "C:\WINDOWS\system32\dmrah.exe" [file not found] HKLM\Software\Microsoft\Active Setup\Installed Components\ {8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax" \StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS] {94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider" \StubPath = "rundll32.exe C:\WINDOWS\System32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] {08BEC6AA-49FC-4379-3587-4B21E286C19E}\(Default) = "SearchToolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{A68865DD-EE3C-4442-9BE9-1BAB2576E3FA}" = "NOMAD Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Creative\Creative Zen Touch\NOMAD Explorer\CTJBNS.DLL" ["Creative Technology Ltd"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "cstqm.exe" [null data] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description]: ----------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "NoBandCustomize"=dword:00000001 [disables toolbar status changes in Internet Explorer|View|Toolbars] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Gert Baumhauer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Gert Baumhauer" & "All Users" startup folders: ---------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "AutoStart IR" -> shortcut to: "C:\Programme\WinTV\Ir.exe /QUIET" ["Hauppauge Computer Works"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{08BEC6AA-49FC-4379-3587-4B21E286C19E}" = "SearchToolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{08BEC6AA-49FC-4379-3587-4B21E286C19E}" = "SearchToolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{08BEC6AA-49FC-4379-3587-4B21E286C19E}" = "SearchToolbar" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\plvtx.dll" [null data] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ Missing lines (compared with English-language version): HIJACK WARNING! "MGINavigationCanceled" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\NavigationCanceled.html" [null data] HIJACK WARNING! "MGIWelcome" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\W_Welcome.html" [null data] HIJACK WARNING! "MGIOfflineInformation" = "C:\Programme\MGI\MGI PhotoSuite 4\Internet\OfflineInformation.html" [null data] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"] HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]} Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" [file not found] FRITZ!fax Port Monitor\Driver = "FritzPort.dll" [file not found] hpzlnt05\Driver = "hpzlnt05.dll" ["HP"] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 30 seconds, including 10 seconds for message boxes) Hoffe, dass ich alles richtig gemacht habe und freue mich über eine Antwort. Jetzt geh ich schlafen, gute Nacht. Dieser Beitrag wurde am 19.12.2005 um 00:59 Uhr von cachito editiert.
|
|
|
19.12.2005, 11:16
Ehrenmitglied
Beiträge: 29434 |
#25
cachito
kopiere die 4 Textdateien (2 Monate vom Datum her reichen) http://virus-protect.org/datfindbat.html Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp Verzeichnis von C:\WINDOWS Verzeichnis von C:\ ---------------------------------------------------------------------------- Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\plvtx.dll Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\close.bmp C:\WINDOWS\system32\insurance.bmp C:\WINDOWS\system32\spyware.bmp C:\WINDOWS\system32\xxx.bmp C:\WINDOWS\system32\pharmacy.bmp C:\WINDOWS\system32\dating.bmp C:\WINDOWS\system32\gambling.bmp C:\WINDOWS\system32\dmrah.exe C:\WINDOWS\system32\idesk.conf C:\WINDOWS\system32\plvtx.dll Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\plvtx.dll O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O17 - HKLM\System\CCS\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82 O17 - HKLM\System\CCS\Services\Tcpip\..\{586A287B-562A-4D83-8EF9-5BEC869D40AC}: NameServer = 85.255.114.20,85.255.112.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{14A54512-4E5A-4985-B74B-CFAC931830E2}: NameServer = 85.255.114.20,85.255.112.82 PC neustarten doppelklick: blbeta.exe klicke auf "next" --> Step 2 --> Cleaning)--> umbenennen lassen, (ausser C:\WINDOWS\system32\wbem\wbemtest.exe) dann boote den PC...dann muesste alles (ausser C:\WINDOWS\system32\wbem\wbemtest.exe) umbenannt sein in *ren) deinstalliere/loesche: C:\Programme\UnSpyPC ----------------------------------------------------------------- Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) UnSpyPC in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. -------------------------------------------------------------------- Dr.Web http://virus-protect.org/cureit.html scanne mit Kaspersky und kopiere den scanreport hier (das ist dein Thread) http://virus-protect.org/onlinescan.html .......................... Trojan.Favadd - Trojan.Howiper http://virus-protect.org/artikel/spyware/idemlog.html Zitat I got infected with something called UnSpyPc, which pretends to be an anti-spyware program. I knocked out most of it with adaware, but there is one piece left. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
13.01.2006, 22:10
...neu hier
Beiträge: 4 |
#26
Hallo Sabina, ich habe inzwischen leider aufgegeben und neu formatiert, mein Verständnis reicht wohl nicht ganz. Dir vielen Dank für die Bemühungen. Gruß Cachito
|
|
|
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread
wende CleanUp an
http://virus-protect.org/cleanup.html
kopiere die 4 Textdateien (2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html
dann loeschen wir die malware und ich erstelle dir eine reg-Dateri...dann ist alles wieder in Ordnung
(ich kann erst morgen wieder nachsehen)...aber dann gebe ich dir die loesung
__________
MfG Sabina
rund um die PC-Sicherheit