http://searchweb2.com/ entfernen?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.09.2004, 11:38
Ehrenmitglied
Beiträge: 29434 |
||
|
||
24.09.2004, 14:11
...neu hier
Beiträge: 4 |
#92
Fri 24 Sep 04 14:01:24
»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»» *System: Microsoft Windows XP Home Edition 5.1 Service Pack 2 (Build 2600) *IE version: 6.0.2900.2180 SP2 MS-DOS Version 5.00.500 *command.com test passed! __________________________________ !!*Creating backups...!! The operation completed successfully 14:01:24,26 24.09.2004 __________________________________ *Local time: Freitag, 24. September 2004 (24.09.2004) 14:01, Westeuropäische Sommerzeit *Uptime: 14:01:25 up 0 days, 0:01:23 *Path: C:\FINDnFIX ---------------------------------------------------- »»Member of...: ("ADMIN" logon + group match required!) User is a member of group HPPAV\Kein. User is a member of group \Jeder. User is a member of group VORDEFINIERT\Administratoren. User is a member of group VORDEFINIERT\Benutzer. User is a member of group NT-AUTORITÄT\INTERAKTIV. User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer. User is a member of group \LOKAL. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! »»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. Ex: read only files, s/h files, last modified date. size, etc. The filters provided and registry scan should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder ______________________________________________________________________________ ***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!*** ______________________________________________________________________________ ......Scanning for file(s)... *Note! The list(s) may include legitimate files! »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»» (*1*) »»»»» ......... »»Read access error(s)... »»»»» (*2*) »»»»»........ »»»»» (*3*) »»»»»........ No matches found. unknown/hidden files... No matches found. »»»»» (*4*) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»»»(*5*)»»»»» »»»»»(*6*)»»»»» »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»»Search by size... *List of files and specs according to 'size' : *Note: Not all files listed here are infected, but *may include* the name and spces of the offending file... ___________________________________________________________________________ Path: C:\WINDOWS\SYSTEM32 Including: *.DLL 643. Msasn1 Dll 57,344 . . . . A 8-04-04 12:57 am 672. Mshtmler Dll 57,344 . . . . A 8-04-04 12:55 am 205. Dmloader Dll 35,840 . . . . A 8-04-04 12:57 am 369. Imgutil Dll 35,840 . . . . A 8-04-04 12:57 am 229. Dpvacm Dll 21,504 . . . . A 8-04-04 12:57 am 278. Feclient Dll 21,504 . . . . A 8-04-04 12:57 am ____________________________________________________________________________ *By size and date... C:\WINDOWS\SYSTEM32\ msasn1.dll Wed 4 Aug 2004 0:57:26 A.... 57.344 56,00 K mshtmler.dll Wed 4 Aug 2004 0:55:32 A.... 57.344 56,00 K 2 items found: 2 files, 0 directories. Total of file sizes: 114.688 bytes 112,00 K C:\WINDOWS\SYSTEM32\ dmloader.dll Wed 4 Aug 2004 0:57:18 A.... 35.840 35,00 K imgutil.dll Wed 4 Aug 2004 0:57:22 A.... 35.840 35,00 K 2 items found: 2 files, 0 directories. Total of file sizes: 71.680 bytes 70,00 K C:\WINDOWS\SYSTEM32\ dpvacm.dll Wed 4 Aug 2004 0:57:18 A.... 21.504 21,00 K feclient.dll Wed 4 Aug 2004 0:57:20 A.... 21.504 21,00 K 2 items found: 2 files, 0 directories. Total of file sizes: 43.008 bytes 42,00 K Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL SNiF 1.34 statistics Matching files : 2 Amount in bytes : 114688 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL SNiF 1.34 statistics Matching files : 2 Amount in bytes : 71680 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL SNiF 1.34 statistics Matching files : 2 Amount in bytes : 43008 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» BHO search and other files... No matches found. "C:\WINDOWS\system32\" rtipxmib.dll 4 Aug 2004 31744 "rtipxmib.dll" 1 item found: 1 file, 0 directories. Total of file sizes: 31.744 bytes 31,00 K --*sp.html in temp folder was NOT FOUND!-- *Filter keys search... REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2) --(*text/html Subkey was NOT FOUND!)-- REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2) --(*text/plain Subkey was NOT FOUND!)-- »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»Size of Windows key: (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450 »»Checking for AppInit_DLLs (empty) value... ________________________________ !"AppInit_DLLs"=""! Value Matches ________________________________ »»Comparing *saved* key with *original*... REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com) Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows). No differences found. »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM »»Performing string scan.... 00001150: vk f AppInit_DLLs G 00001190: h vk UDeviceNotSelectedTimeout 1 5 000011D0: 0 9 0 =t vk ' zGDIProcessHandle 00001210:Quota" vk 8 Spooler2 y e s _ h 00001250: ` vk 5swapdisk vk 00001290: . TransmissionRetryTimeout h ` 000012D0: vk ' USERProcessHandleQuota h 00001310: 00001350: 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖ?æG -------------- -------------- $01180: AppInit_DLLs $011AF: UDeviceNotSelectedTimeout $011FF: zGDIProcessHandleQuota $01298: TransmissionRetryTimeout $012E8: USERProcessHandleQuota -------------- -------------- No strings found. -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ............. A handle was successfully obtained for the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key. This key has 0 subkeys. The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination. [AppInitDLLs] Ansi string : "" 0000 00 00 | .. ----------------------- »»»»»»Backups list...»»»»»» 14:04:48 up 0 days, 0:04:46 ----------------------- Fri 24 Sep 04 14:04:48 C:\FINDNFIX\ keyback.hiv Fri 24 Sep 2004 14:01:26 A.... 8.192 8,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 8.192 bytes 8,00 K C:\FINDNFIX\KEYS1\ winkey.reg Fri 24 Sep 2004 14:01:26 A.... 287 0,28 K 1 item found: 1 file, 0 directories. Total of file sizes: 287 bytes 0,28 K *Temp backups... "C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Backs2\" keyback2.hi_ 24 Sep 2004 8192 "keyback2.hi_" winkey2.re_ 24 Sep 2004 287 "winkey2.re_" 2 items found: 2 files, 0 directories. Total of file sizes: 8.479 bytes 8,28 K -D---- JUNKXXX 00000000 14:01.26 24/09/2004 A----- STARTIT .BAT 00000060 14:01.26 24/09/2004 ________________________________________________________________________________ ***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)' AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS! MINIMAL REQUIREMENTS INCLUDE: _________XP HOME/PRO; SP1; IE6/SP1 _________2K/SP4; IE6/SP1 ________________________________________________________________________________ »»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»» -----END------ Fri 24 Sep 04 14:04:50 Dieser Beitrag wurde am 24.09.2004 um 15:53 Uhr von winmaster editiert.
|
|
|
||
24.09.2004, 15:42
Ehrenmitglied
Beiträge: 29434 |
#93
Hallo @winmaster
Loesche bitte im Logfix diese Infos: VORDEFINIERT\Administratoren \Everyone Running in WORKSTATION MODE. SystemDrive is C: SystemRoot is C:\WINDOWS Logon Domain is Administrator's Name is Computer Name is LOGON SERVER is \\ _________________________________________________________________ Fixe mit dem HijackThis, dann neustarten: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.ekkqwstqmykrm.com/XuPpFWjlPdIWZ8hSuy_tUT4uQnLTa/lFjJk7fFWiSSx2G44wpPYKKRCrXw_K5YCr.html neustarten #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <in den abgesicherten Modus gehen http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Gehe wieder in den Normalmodus und scanne noch mal. <Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.09.2004 um 15:45 Uhr von Sabina editiert.
|
|
|
||
24.09.2004, 18:38
...neu hier
Beiträge: 4 |
#94
Das ist die Virus Log Information:
File C:\Dokumente und Einstellungen\Anwendungsdaten\X-Chat 2\downloads\bIRC002-fixed.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\Dokumente und Einstellungen\Desktop\backups\backup-20040923-220028-881.dll tagged as not-a-virus:RiskWare.Downloader.SpyGame. No Action Taken. File C:\hp\bin\py152.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\hp\bin\Terminator.exe tagged as not-a-virus:RiskWare.Tool.KillApp. No Action Taken. File C:\hp\bin\WIN32ALL-125.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\Norton AntiVirus\Quarantine\204E11B2 infected by "I-Worm.NetSky.b" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\29D2508E infected by "Trojan.Win32.CD_open.b" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\4016042E infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\405177EE infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\5F1C38C6 infected by "Trojan.Win32.CD_open.b" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\6E910750 infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\77F37FDD infected by "I-Worm.Sober.g" Virus. Action Taken: File Deleted. Und das ist der neue Log von HijackThis: Logfile of HijackThis v1.98.0 Scan saved at 18:34:48, on 24.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\HP\KBD\KBD.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\WINDOWS\DitExp.exe C:\Programme\Internet Explorer\iexplore.exe c:\base\mwavscan.com c:\base\kavss.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Dokumente und Einstellungen\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.xgwdxrjqemmrnhppkscmryiqc.biz/XuPpFWjlPdIWZ8hSuy_tUT4uQnLTa/lFjJk7fFWiSSyV_JrjjWOwURCrXw_K5YCr.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [DebugCool] C:\PROGRA~1\LOCKSF~1\Rdr store.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: DSLMON.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2719a93360e3715bdf05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093204388265 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab gruß winmaster |
|
|
||
25.09.2004, 00:37
Ehrenmitglied
Beiträge: 29434 |
#95
Hallo @winmaster
Nun, das ist noch nicht sauber.... Frage: was ist das ? O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [DebugCool] C:\PROGRA~1\LOCKSF~1\Rdr store.exe wenn du das aus dem Autostart nehmen kannst, ohne dass was nicht funktioniert, dann fixe es. Fixe: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.xgwdxrjqemmrnhppkscmryiqc.biz/XuPpFWjlPdIWZ8hSuy_tUT4uQnLTa/lFjJk7fFWiSSyV_JrjjWOwURCrXw_K5YCr.htm neustarten Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* #Deaktiviere kurz den Symantec und lade: Antivirus (free) http://www.free-av.de/ Nach dem Installationsscann konfiguriere: "alle Dateien" und "Heuristik: mittel" <Dann scanne im abgesicherten und im Normalmodus. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Spysweeper http://www.spysweeper.com/ Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.09.2004 um 00:45 Uhr von Sabina editiert.
|
|
|
||
25.09.2004, 19:27
...neu hier
Beiträge: 4 |
#96
Ich glaube(hoffe) jetzt ist es sauber!!! Hier ist der neue Log von HijackThis!
Logfile of HijackThis v1.98.0 Scan saved at 18:19:21, on 25.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Dit.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\System32\alg.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: DSLMON.lnk = ? O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2719a93360e3715bdf05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093204388265 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab Dank an Sabina du hast mir echt geholfen!!!! gruß winmaster |
|
|
||
25.09.2004, 19:31
Ehrenmitglied
Beiträge: 29434 |
#97
Hallo @winmaster
Du kannst das noch fixen, damit es aus dem Autostart kommt: O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 ansonsten: #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ Das Log ist sauber mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.09.2004 um 19:31 Uhr von Sabina editiert.
|
|
|
||
26.09.2004, 13:19
...neu hier
Beiträge: 2 |
#98
Schaut euch mal bitte meinen log an. Mein PC spinnt manchmal, vielleicht könnt ihr mir ja helfen!!!! Danke schonmal
Logfile of HijackThis v1.97.7 Scan saved at 13:17:27, on 26.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\DWRCS.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\r_server.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Wsr\WinsysRsr.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Winamp\winamp.exe C:\Programme\ICQ\Icq.exe C:\Programme\Opera75\opera.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\PCClient.EXE C:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE C:\Programme\Trend Micro\Internet Security\TMOAgent.exe F:\Downloads\Nero\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.avkcvzzatndhfkrcukb.us/po/tBV513aLV21lWRcNo4rDwYaQFvOdMZoLJNnjIDoo.jsp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.ivdjdpljulcxk.us/po/tBV513aIIvrzpdZ_nVaDoKkNtiFz5xkEiWWBJt2Pneuxb2D7PgcN6j4iw/qwK.jsp O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4507AA28-602A-BE85-2384-BC363517AA0B} - C:\PROGRA~1\EACHMP~1\32New.exe O2 - BHO: (no name) - {5742CF52-7AC5-8FE9-0731-CB30481C00B0} - C:\PROGRA~1\EACHMP~1\sectonce.exe (file missing) O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [realmemo] C:\PROGRA~1\TICKST~1\Manager enc.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [MultiBodyBindHeck] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eachrealmultibody\COPYFAST.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [GREYMULTINURBEQ] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\global user grey multi\DateHeck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" "+b1" O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094904029218 O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38019.2805787037 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
26.09.2004, 13:34
Ehrenmitglied
Beiträge: 29434 |
#99
Hallo @Olek2003
Fixe mit dem HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.avkcvzzatndhfkrcukb.us/po/tBV513aLV21lWRcNo4rDwYaQFvOdMZoLJNnjIDoo.jsp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.ivdjdpljulcxk.us/po/tBV513aIIvrzpdZ_nVaDoKkNtiFz5xkEiWWBJt2Pneuxb2D7PgcN6j4iw/qwK.jsp O2 - BHO: (no name) - {4507AA28-602A-BE85-2384-BC363517AA0B} - C:\PROGRA~1\EACHMP~1\32New.exe O2 - BHO: (no name) - {5742CF52-7AC5-8FE9-0731-CB30481C00B0} - C:\PROGRA~1\EACHMP~1\sectonce.exe (file missing) O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [GREYMULTINURBEQ] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\global user grey multi\DateHeck.exe neustarten Hast du das installiert ??? C:\WINDOWS\SYSTEM32\DWRCS.EXE ( dwrcs.exe is the DameWare Mini Remote Control Client Agent Service ??) C:\WINDOWS\system32\r_server.exe ( Remote admistrator server ?) C:\Programme\Wsr\WinsysRsr.exe (Mp3FileMonitoring MFC (??) #deinstalliere:\Loesche C:\PROGRA~1\EACHMP "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" ......................... c:\win c:\win\winsys c:\programme\wsr C:\Programme\Wsr\WinsysRsr.exe (Mp3FileMonitoring MFC (??) ............................ http://www.pestpatrol.com/pest_info/de/d/dameware_mini_remote_control.asp http://www.famatech.com/support/forum/read.php?FID=11&TID=4749&ACTION .............................. #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. #Gehe wieder in den Normalmodus und scanne noch mal. <Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.09.2004 um 13:54 Uhr von Sabina editiert.
|
|
|
||
01.10.2004, 17:23
...neu hier
Beiträge: 2 |
#100
Mein PC läuft nach dem Neustart ganz normal aber nach ner zeit kann ich keine WEbseiten mehr öffnen...also öffnen schon aber kann nichts eingeben und dann bestätigen sondern nur noch über links surfen...
hier das Logfile..was kann das sein?Is nicht lange her da hab ich formatiert und alles neu gemacht.. Logfile of HijackThis v1.98.2 Scan saved at 15:53:16, on 01.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\vpc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\eMule\emule.exe C:\Dokumente und Einstellungen\Soulfly\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{B45B199F-19BB-4C03-AD53-20C71F7720F8}: NameServer = 217.237.149.161 217.237.151.225 |
|
|
||
01.10.2004, 17:35
...neu hier
Beiträge: 1 |
#101
Hallo,
vielleicht kann mir ja jemand helfen! "Hoffentlich" Ich bzw. eine Kollegin hat das Problem, dass sie ihre Startseite nicht ändern läßt. Sie springt immer nach dem Start sofort auf ssearch.biz. Kurzseitig hatte ich das Problem beseitigt, aber jetzt ist es leider wieder da. Ich habe schon einiges gelöscht, weiß aber nicht mehr weiter: Hier der oder das logfile: Logfile of HijackThis v1.98.2 Scan saved at 21:16:40, on 30.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\AIM95\aim.exe C:\Programme\Microsoft Money\System\reminder.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE A:\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/106599cc3a9e8c4d5019/netzip/RdxIE601_de.cab Danke schön!!!! Aquost |
|
|
||
01.10.2004, 17:48
Moderator
Beiträge: 7805 |
#102
Arbeitet bitte mal die Punkte 1-4 aus diesem Thread ab und poste ein neues Log.
http://board.protecus.de/t9373.htm Du solltest auch dein Windows/IE via www.windowsupdate.com aktualisieren. Wenn du diese Datei "enbiei.exe" in deinem Windows oder System32 Ordner finden solltest, schicke sie bitte an virus@protecus.de __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.10.2004, 13:40
...neu hier
Beiträge: 2 |
#103
habe nochmal alle genannten programme rüberlaufen lassen....hier das ergebnis:
Logfile of HijackThis v1.98.2 Scan saved at 13:39:56, on 02.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp\winampa.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Sony\OpenMG Jukebox\Omgtray.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe C:\Programme\eMule\emule.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Soulfly\Eigene Dateien\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OpenMG Jukebox Startup.lnk = C:\Programme\Sony\OpenMG Jukebox\Omgtray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B45B199F-19BB-4C03-AD53-20C71F7720F8}: NameServer = 217.237.149.161 217.237.151.225 |
|
|
||
02.10.2004, 13:47
Moderator
Beiträge: 7805 |
#104
Du musst dein Widows noch aktualisieren und sichern. Siehe dazu : http://ntsvcfg.de/
Fix das: O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe Das ist dazugekommen, da dein System nicht genuegend geschuetzt ist! Allerdings scheint Antivir die Datei schon geloescht zu haben. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.10.2004, 12:16
...neu hier
Beiträge: 1 |
#105
Hallo Folks,
bin erstmal froh dieses Forum endeckt zu haben. Ich bin auch auf Messenger + reingefallen und nu spinnt mein PC total. Hier mal mein Logfile. Ich habe es schon selbst probiert aber man erkennt als Laie auch nicht alle einträge. Bitte um Hilfe stehe kurz vor Format C weil ich so wütend über den Schei... bin. Noch eine frage seitdem ich etwa rumgefummelt hab meldet sich dauernd AdAware und will es blocken aber schafft es wohl nich, was macht man da!? Logfile of HijackThis v1.98.2 Scan saved at 12:11:22, on 06.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\srvss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\soundman.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\cFosSpeed\cFosSpeed.exe C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\System32\wfxsnt40.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Holger\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfrlqniiexj.us/hjmlBujZMbmsk1y8YRwjty3pmHRf7WvIDP8hgmHbMBk.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tdqqkvilrxtbghzsxf.net/hjmlBujZMbnR70k_jtmKcDQqF3WeYY2s0X0knKitFwoLW6xoFras34lmehLVuvAC.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {096F8FCE-4D31-2BED-1827-64698EBB4D4A} - C:\PROGRA~1\CLOSE1~1\Flaw else.exe O2 - BHO: (no name) - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Sect type] C:\PROGRA~1\MOREBA~1\iso user.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\Run: [dogdvdwin32] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Stylesafedogdvd\Base warn.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3de.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/08e448970b1f1f821b23/netzip/RdxIE601_de.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - file://C:\InKline Global PC Booster V-2.1\setup.exe O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab Danke im voraus! IceBear |
|
|
||
fixe mit dem HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.ekkqwstqmykrm.com/XuPpFWjlPdIWZ8hSuy_tUT4uQnLTa/lFjJk7fFWiSSx2G44wpPYKKRCrXw_K5YCr.html
neustarten
FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten (nimm aber die administrativen Angaben raus, also Admin.Name und aehnliches)
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit