Home Search Startseite ..bekomme es nicht bereinigt.. |
||
---|---|---|
#0
| ||
06.07.2004, 12:18
Member
Beiträge: 12 |
||
|
||
06.07.2004, 14:10
Ehrenmitglied
Beiträge: 29434 |
#47
ND33
Nun denn, ich warte auf das Log mit einer Startseite...Vielleicht kommt ne Erfolgsmeldung.. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 14:11 Uhr von Sabina editiert.
|
|
|
||
07.07.2004, 07:17
Member
Beiträge: 12 |
#48
hey Sabina
also die Einträge sind nicht mehr vorhanden aber ich poste Dir hier nochmal das aktuelle Log: Logfile of HijackThis v1.98.0 Scan saved at 07:12:33, on 07.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\twain_32\A4CIS600\WATCH.exe C:\WINDOWS\System32\alg.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\PROGRA~1\Grisoft\AVG6\avgserv.exe d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.712\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7D42263C-7F6A-42F5-BC85-46C501F68273}: NameServer = 212.6.108.140 212.6.108.141 ich habe nun den Anti Virus und Spy Sweeper im Hintergrund laufen. mfG Andy |
|
|
||
08.07.2004, 16:57
...neu hier
Beiträge: 6 |
#49
Hallo miteinander! Habe hier ein kleines Problem und komme einfach nicht weiter. Seit kurzem ist aus unerklärlichen Gründen meine Startseite folgende: homesearch (und das noch in englisch) mit dieser Adresse: res://mxood.dll/index.html#28129
Ausserdem öffnen sich dauernd Werbefenster (beispielsweise "ONLY THE BEST") Was kann ich tun ?? Hier mein Logfile von hijackthis: Logfile of HijackThis v1.98.0 Scan saved at 16:49:36, on 08.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Normanav\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\wanmpsvc.exe C:\NORMANAV\NORMAN\nvc\BIN\NVCSCHED.EXE C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE C:\NORMANAV\NORMAN\nvc\BIN\nvcoas.exe C:\WINDOWS\system32\winmi.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE C:\Programme\CloneCD\CloneCDTray.exe C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE C:\NORMANAV\NORMAN\nvc\BIN\NIP.EXE C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe C:\NORMANAV\NORMAN\nvc\BIN\cclaw.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\WINDOWS\netwx32.exe C:\Programme\SETI@home\SETI@home.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Virtual CD v4\System\VCDTray.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [netwx32.exe] C:\WINDOWS\netwx32.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\RunOnce: [winmi.exe] C:\WINDOWS\system32\winmi.exe O4 - HKLM\..\RunOnce: [appuj.exe] C:\WINDOWS\system32\appuj.exe O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://merchant.eops.de/dialersoftware/cax.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll |
|
|
||
08.07.2004, 17:06
Ehrenmitglied
Beiträge: 29434 |
#50
mfranke37
Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll O4 - HKLM\..\Run: [netwx32.exe] C:\WINDOWS\netwx32.exe O4 - HKLM\..\RunOnce: [winmi.exe] C:\WINDOWS\system32\winmi.exe O4 - HKLM\..\RunOnce: [appuj.exe] C:\WINDOWS\system32\appuj.exe O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://merchant.eops.de/dialersoftware/cax.cab 16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll TrojanDownloader.Win32.Small.kq Neustarten #Lade mwav.exe...scanne alle Dateien http://www.mwti.net/antivirus/free_utilities.asp #Lade den Stinger http://vil.nai.com/vil/stinger/ #Lade AdAware free...updaten vor dem Scannen !!! und Spybot von dieser Site http://www.rokop-security.de/main/article.php?sid=703 #lade Spysweeper free http://www.spysweeper.com/ #Lade SP http://www.rokop-security.de/main/article.php?sid=746 Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Konfiguriere den Antivirus AVGCtrl <Heuristic :hoch <Scanne alle Dateien< <bei Fund sofort loeschen und mache einen Vollscann (vorher im Normalmodus noch aktualisieren !!!) Suche und loesche C:\WINDOWS\msopt.dll C:\WINDOWS\winzq.dll neustarten #loesche unter <InternetOptionen die TemporaryInternetFiles !!! #Stelle unter InternetOptionen eine neue Startseite ein < und poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.07.2004 um 17:10 Uhr von Sabina editiert.
|
|
|
||
09.07.2004, 17:35
...neu hier
Beiträge: 6 |
#51
Hallo sabina und sonstige Experten, die bereit sind Verzweifelten wie mir zu helfen. Habe deine Tipps befolgt – dies kam dabei raus
mwav.exe ergab folgende Log: File C:\WINDOWS\system32\winmi.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\WINDOWS\netwx32.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Kathrin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPGRGL6P\SMS-Stadt[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\backups\backup-20040709-134746-840.dll infected by "TrojanDownloader.Win32.Small.eb" Virus. Action Taken: File Deleted. File C:\isp\AOL_Mediamarkt\INSTALL\HB\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\isp\AOL_Mediamarkt\INSTALL\HB\REDIST\MSVBVM50.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\ACAD2000\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\UWCDS\{DBE31D9D-D7FB-4B1D-917B-583DB0871A85}\Quarantine Files\crdj32.exe.gz infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\Programme\VectorWorks 9\BACKUP\InstDrv.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "TrojanDownloader.Win32.Small.lb" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP465\A0059026.exe infected by "TrojanDownloader.Win32.Small.lb" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP470\A0059256.dll tagged as not-a-virus:AdvWare.NewDotNet. No Action Taken. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP475\A0060604.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP477\A0060945.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP478\A0061103.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP479\A0061120.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP479\A0061121.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. File C:\WINDOWS\d3wa32.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\WINDOWS\Downloaded Program Files\ieloader.dll infected by "TrojanDownloader.Win32.Ladder" Virus. Action Taken: File Deleted. File C:\WINDOWS\huqocg.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. File C:\WINDOWS\installer[gwd-10778,de].exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. File C:\WINDOWS\installer[hun-10051,de].exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. File C:\WINDOWS\mxood.dll infected by "TrojanDownloader.Win32.Winshow.u" Virus. Action Taken: File Deleted. File C:\WINDOWS\n_uxydes.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. File C:\WINDOWS\ocidwk.dat infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\WINDOWS\qgazjq.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted. File C:\WINDOWS\qvkymc.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\appuj.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken. Stinger: Fand keine Viren Spybot: Behob 33 Probleme SP: meldete keine Infektion Was meintest du mit: Konfiguriere den Antivirus AVGCtrl <Heuristic :hoch <Scanne alle Dateien< <bei Fund sofort loeschen und mache einen Vollscann (vorher im Normalmodus noch aktualisieren !!!) Und diese Dateien konnte ich auf dem Computer nicht finden: C:\WINDOWS\msopt.dll C:\WINDOWS\winzq.dll TemporaryInternetFiles wurden gelöscht und eine neue Startseite eingegeben und nun poste ich das Log noch mal Logfile of HijackThis v1.98.0 Scan saved at 17:30:29, on 09.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Normanav\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\wanmpsvc.exe C:\NORMANAV\NORMAN\nvc\BIN\nvcoas.exe C:\NORMANAV\NORMAN\nvc\BIN\NVCSCHED.EXE C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE C:\WINDOWS\system32\syshu.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE C:\Programme\CloneCD\CloneCDTray.exe C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE C:\NORMANAV\NORMAN\nvc\BIN\cclaw.exe C:\NORMANAV\NORMAN\nvc\BIN\NIP.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\WINDOWS\sysfk.exe C:\Programme\SETI@home\SETI@home.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\Virtual CD v4\System\VCDTray.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE c:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe O4 - HKLM\..\RunOnce: [syshu.exe] C:\WINDOWS\system32\syshu.exe O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll Was nun? Das anfangs beschriebene Problem besteht immer noch |
|
|
||
09.07.2004, 19:40
Ehrenmitglied
Beiträge: 29434 |
#52
mfranke37
#deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 kannst du spaeter wieder aktivieren Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe O4 - HKLM\..\RunOnce: [syshu.exe] C:\WINDOWS\system32\syshu.exe neustarten Lade Antivirus deaktiviere solange den anderen Virenscanner.\ http://www.free-av.de/ Nach dem Installationsscann konfiguriere unter Optionen den Antivirus \Heuristic/hoch \alle Dateien scannen\ Gehe in den abgesichherten Modus http://www.bsi.de/av/texte/winsave.htm #Mache einen Vollscann mit Antivirus ....................................................................................................... #neustarten #loesche diesen Dialer C:\Dokumente und Einstellungen\Kathrin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPGRGL6P\SMS-Stadt[1].exe :RiskWare.Dialer.gen #loesche unter InternetOptionen die TemporaryInternetFiles. #scanne noch eimal mit mwav.exe und poste das Endlog. Dann poste das HijackThis/Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.07.2004 um 19:49 Uhr von Sabina editiert.
|
|
|
||
10.07.2004, 11:05
...neu hier
Beiträge: 6 |
#53
Hallo
Der Scan mit mwav.exe ergab: File C:\WINDOWS\sysfk.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. File C:\isp\AOL_Mediamarkt\INSTALL\HB\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\isp\AOL_Mediamarkt\INSTALL\HB\REDIST\MSVBVM50.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\ACAD2000\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\VectorWorks 9\BACKUP\InstDrv.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP1\A0000001.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. File C:\WINDOWS\nccdvd.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed. Nun poste ich das HijackThis/Log noch einmal: Logfile of HijackThis v1.98.0 Scan saved at 10:53:51, on 10.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Normanav\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\wanmpsvc.exe C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE C:\Programme\CloneCD\CloneCDTray.exe C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\SETI@home\SETI@home.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\Virtual CD v4\System\VCDTray.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE c:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {54877C46-4AC8-704E-35E9-E2D3C41896F5} - C:\WINDOWS\system32\d3da.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll Die Startseite des Internetexplorers hängt leider immer noch fest bei: homesearch (und das noch in englisch) aber nun mit dieser Adresse: res://qlgxp.dll/index.html#28129 Ausserdem öffnen sich immer noch diese lästigen Pop up Fenster die mir sagen ich hätte Spyware auf dem Rechner. |
|
|
||
10.07.2004, 12:08
Ehrenmitglied
Beiträge: 29434 |
#54
mfranke37
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129 O2 - BHO: (no name) - {54877C46-4AC8-704E-35E9-E2D3C41896F5} - C:\WINDOWS\system32\d3da.dll O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe neustarten #Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run loesche auf der echten Seite : [sysfk.exe] Suche diesen Eintrag und loesche ihn : BHO: (no name) - {54877C46-4AC8-704E-35E9-E2D3C41896F5} -d3da.dll suche :mxood.dll in der Registry und loesche den Eintrag schliesse die Registry #Loesche C:\WINDOWS\sysfk.exe C:\WINDOWS\system32\d3da.dll C:\WINDOWS\mxood.dll #scanne noch einmal im abgesicherten Modus mit Antivirus und mwav.exe, loesche dann die TemporaryInternetFiles und poste das Log noch einmal. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.07.2004 um 12:15 Uhr von Sabina editiert.
|
|
|
||
11.07.2004, 12:01
...neu hier
Beiträge: 6 |
#55
Hi Sabina
Folgende Dateien sollte ich löschen, konnte diese aber nicht finden auf dem Rechner: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run loesche auf der echten Seite : [sysfk.exe] C:\WINDOWS\system32\d3da.dll C:\WINDOWS\mxood.dll Antivirus fand und entfernte 3 Viren (Trojanische Dateien) mwav.exe fand keine Fehler und nun noch mal das Log: Logfile of HijackThis v1.98.0 Scan saved at 11:56:52, on 11.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE c:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qlgxp.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {17148321-8D1B-4F75-4E46-30E16B398180} - C:\WINDOWS\system32\d3fa.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll |
|
|
||
11.07.2004, 13:36
Ehrenmitglied
Beiträge: 29434 |
#56
mfranke37
Fixe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qlgxp.dll/index.html#28129 O2 - BHO: (no name) - {17148321-8D1B-4F75-4E46-30E16B398180} - C:\WINDOWS\system32\d3fa.dll O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll neustarten http://download.broadbandmedic.com/ to download TheKillbox by Option^Explicit. Extract it from the zip file then double-click on Killbox.exe to run it. In the 'Paste Full Path of File to Delete' box, copy and paste this entry: C:\WINDOWS\msopt.dll C:\WINDOWS\system32\d3fa.dll Don't click any of the buttons though, instead please click on the Action menu and choose "Delete on Reboot". In the window that opens up, click on the File menu and choose "Add File". The C:\WINDOWS\msopt.dll listing should show up in the window. Then in the same window choose the Action menu and select "Process and Reboot". You'll be prompted to reboot, do so. #Gehe in die Registry Start\Ausfuehren \regedit HKLM\Software\Microsoft\Internet Explorer\Main,Start Page loesche qlgxp.dll/index.html#28129 #Geh noch einmal in den abgesicherten Modus...das ist wichtig ! http://www.bsi.de/av/texte/winsave.htm anitivirus konfigurieren> Automatischen Scan stoppen, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Mache einen Vollscann normal neustarten #loesche die TemporaryInternetFiles, stelle eine neue Startseite ein Dann poste das Log noch mal, falls beim Scann mit HijackThis die zwei dlls weiterhin da sind. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.07.2004 um 13:43 Uhr von Sabina editiert.
|
|
|
||
11.07.2004, 18:55
...neu hier
Beiträge: 6 |
#57
Hi Sabina
Folgende Dateien sollte ich löschen, konnte diese aber in die Registry nicht finden HKLM\Software\Microsoft\Internet Explorer\Main,Start Page qlgxp.dll/index.html#28129 Und sobald ich mich ins Internet gewählt hatte waren sämtliche Alteinstellungen wieder da (Startseite: homesearch (in englisch) nun mit dieser Adresse: res://hhgau.dll/index.html#28129 Außerdem öffnen sich weiterhin dauernd Werbefenster mit der Bezeichnung "ONLY THE BEST") Deshalb nun noch mal das LOG: Logfile of HijackThis v1.98.0 Scan saved at 18:54:18, on 11.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Normanav\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE C:\Programme\CloneCD\CloneCDTray.exe C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\WINDOWS\system32\ntnl32.exe C:\Programme\SETI@home\SETI@home.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Virtual CD v4\System\VCDTray.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE c:\Programme\Microsoft Works\MSWorks.exe C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\crzx.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hhgau.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hhgau.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {9B7C0FD1-A979-46E0-871F-2B02FBB5AF1C} - C:\WINDOWS\apppc.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [ntnl32.exe] C:\WINDOWS\system32\ntnl32.exe O4 - HKLM\..\RunOnce: [crzx.exe] C:\WINDOWS\system32\crzx.exe O4 - HKLM\..\RunOnce: [javaik32.exe] C:\WINDOWS\javaik32.exe O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll |
|
|
||
11.07.2004, 19:16
Ehrenmitglied
Beiträge: 29434 |
#58
mfranke37
es ist nun schon die dritte Variante einer verstellten Startseite. Es muss doch moeglich sein, den\die immer wieder neuen Trojaner zu erwischen ...uff <( fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hhgau.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hhgau.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129 Trojaner> O2 - BHO: (no name) - {9B7C0FD1-A979-46E0-871F-2B02FBB5AF1C} - C:\WINDOWS\apppc.dll O4 - HKLM\..\Run: [ntnl32.exe] C:\WINDOWS\system32\ntnl32.exe O4 - HKLM\..\RunOnce: [crzx.exe] C:\WINDOWS\system32\crzx.exe O4 - HKLM\..\RunOnce: [javaik32.exe] C:\WINDOWS\javaik32.exe O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab ist nicht \bad, schreibt sich aber bei Anwendung wieder ein....FIXE ES BITTE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" Neustarten und in den abgesicherten Modus gehen Nun das ganze Spielchen noch einmal.>> deaktiviere deinen Virenscanner oder deinstalliere ihn gleich...er ist zerstoert..kannst ihn spaeter wieder laden Aktualisiere den Antivirus !!!!!!updaten !!!!!!!!! Konfiguriere den Antivirus AVGCtrl Automatischen Scan stoppen, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) und mache einen Vollscann mit dem Antivirus. .............................................................................................................. normal neustarten #Lade AdAware free...updaten und \alle Dateien scannen\ http://www.lavasoft.de/ .......................................................................................................... #mit ClearProg http://www.shtools.de/downloads.php Loesche die TemporaryInternetFiles Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs ......usw.... ........................................................................................... #und stelle eine neue Startseite im IE ein #Dann lade Firefox als Alternetivbrowser...ist sicherer und surfe nur mit ihm.!!!!!!!!!!!!!!!!!! http://www.firebird-browser.de/ #lade Spywareblaster http://www.javacoolsoftware.com/spywareblaster.html #Lade Spywarguard http://www.javacoolsoftware.com/sgdownload.html #Lade mwav.exe...scanne alle Dateien http://www.mwti.net/antivirus/free_utilities.asp poste dann, was die mwav.exe gefunden hat!!!!!!!!!!!!! Dann poste das Log noch mal..uff....wo holst du dir nur die ganzen Startseiten Trojaner????? MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.07.2004 um 19:31 Uhr von Sabina editiert.
|
|
|
||
12.07.2004, 09:25
...neu hier
Beiträge: 6 |
#59
Hi Sabina
Antivirus ergab erneut wie bei den letzten 2 Scans diese 3 Virenmeldungen: C:\WINDOWS javaik32.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.Z.2 WURDE GELÖSCHT! C:\WINDOWS\system32 crzx.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.Z.2 WURDE GELÖSCHT! geweh.dat [FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02 WURDE GELÖSCHT! mwav.exe fand keine Fehler Logfile of HijackThis v1.98.0 Scan saved at 09:13:24, on 12.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Normanav\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4\System\vcdsecs.exe C:\WINDOWS\wanmpsvc.exe C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\SETI@home\SETI@home.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Virtual CD v4\System\VCDTray.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE c:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll Das scheints jetzt gebracht zu haben – bin seid ner viertel Stunde im Netz und noch kamen keine Spy-Warnungen oder Werbe pop ups und die home search Startseite ist auch weg. Hoffe das bleibt so. DANKE !! |
|
|
||
12.07.2004, 09:40
Ehrenmitglied
Beiträge: 29434 |
#60
mfranke37
Ja, es schient, diesmal hast du ihn erwischt. Es ist wichtig, den Scann mit Antivir. im abgesicherten Modus zu machen !! fixe und loesche dann im abgesicherten Modus : O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll #Ueberpruefe mit Kaspersky http://www.kaspersky.com/scanforvirus C:\WINDOWS\msopt.dll #und mache, was @Raman im folgenden Thread gepostet hat. #Falls sie als <BAD< erkannt wird : in der Registry SUCHEN : und loeschen Start<Ausfuehren<regedit {4A8DADD4-5A25-4D41-8599-CB7458766220}msopt.dll schliesse die Registry #benenne die dll um in msopt.dl und loesche, erst dann durfte Ruhe sein...... #Dann surfe nur mit dem Firefox...ist sicherer http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.07.2004 um 09:44 Uhr von Sabina editiert.
|
|
|
||
keine der Dateien die Du aufgelistet hattest, konnte apm finden, und in der Registry fand ich auch keine,ich denke mal das die Trojaner gelöscht wurden, ich habe versucht mit "Add Remove" die Einträge unter Software zu löschen, und es scheint geklappt zu haben, zumindest sind sie weg, mal schauen wenn ich den Rechner hochfahre...
nochmals danke !
sei lieb gegrüsst, Andy