Problem (Startseite ändert sich von selbst, Pop-Ups) |
||
---|---|---|
#0
| ||
24.11.2004, 10:19
...neu hier
Beiträge: 1 |
||
|
||
24.11.2004, 17:48
Ehrenmitglied
Beiträge: 29434 |
#92
Hallo@N1kk0
aktuelles HijackThis: http://www.downloads.subratam.org/hijackthis.zip ------------------------------------------------------------------------------ 1.Schritt: <Zuerst HijackThis in einen eigenen permanenten Ordner entpacken. C:\Programme\HijackThis wäre ein guter Platz. http://www.downloads.subratam.org/hijackthis.zip <"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. --> http://d21c.com/Tom41/?D=A <AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen. --> www.malwarebytes.biz/AboutBuster.zip <AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen. --> http://www.lavasoft.de/support/download/ 2. Schritt: #Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl ein --> services.msc suche und deaktiviere: [Printer Driver Helper Service -->(Service Status" klick "Stop"] falls du diesen Dienst nicht findest, deaktiviere: Network Security Service (NSS) -->(Service Status" klick "Stop" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gyoff.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gyoff.dll/sp.html#11111 O2 - BHO: (no name) - {D6F9CC6E-C899-A041-064C-1A2E04A794C8} - C:\WINDOWS\system32\sdkrp.dll O4 - HKLM\..\Run: [Printer Driver Helper Service] C:\WINDOWS\System32\crsrr.exe O4 - HKLM\..\Run: [iprv32.exe] C:\WINDOWS\system32\iprv32.exe 3. Schritt: PC neustarten..und <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml 4.Schritt: loesche: C:\WINDOWS\system32\iprv32.exe C:\WINDOWS\System32\crsrr.exe C:\WINDOWS\system32\msmb.exe C:\WINDOWS\system32\sdkrp.dll zum Beispiel mit HijackThis: 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\system32\iprv32.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein: C:\WINDOWS\system32\sdkrp.dll C:\WINDOWS\System32\crsrr.exe C:\WINDOWS\system32\msmb.exe Erst beim letzten klickst du "Yes" und startest den PC neu und wieder in den abgesicherten Modus. 5. Schritt: und dort füge cwsfix.reg" + "cwsserviceremove.reg durch "yes" der Registry bei und scanne mit AboutBuster und AdAware. 6.Schritt: mache ebenfalls im abgesicherten Modus: Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k 7. Schritt: Mache alle CriticalUpdates von Microsoft --> www.windowsupdate.com csrrs.exe Gaobot Trojan. Spreads in local network via open shares. Also it uses DCOM RPC vulnerability (135,445 ports) and WebDav vulnerability (port 80). Allows to control the victim computer by IRC. Terminates well known antiviral software. Removal: install the patches from Microsoft: http://www.microsoft.com/technet/securit... http://www.microsoft.com/technet/securit... http://www.microsoft.com/technet/securit... http://www.microsoft.com/technet/securit... http://www.microsoft.com/technet/securit... http://www.microsoft.com/technet/securit... http://www.microsoft.com/technet/securit... 8.Schritt: Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Dann stelle unter "Internetoption" eine neue Startseite ein und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.11.2004 um 18:21 Uhr von Sabina editiert.
|
|
|
||
27.11.2004, 14:35
Member
Beiträge: 20 |
#93
Sabina helf mir bitte ich krieg diese schei.. nicht weg immer wieder kommt das
|
|
|
||
27.11.2004, 16:40
Ehrenmitglied
Beiträge: 29434 |
#94
Hallo@Bozoman
ich finde dein Log vom HijackThis nicht. Poste es bitte. aktuelles HijackThis: http://www.downloads.subratam.org/hijackthis.zip 1.Log Lade das Tool HijackThis:-->Button "scan" --> Button "save" --> es öffnet sich das Notepad, nun das KOMPLETTES Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"--> kopieren mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.11.2004, 17:14
Member
Beiträge: 20 |
#95
Vielen, vielen Dank Sabina´
Hier Logfile of HijackThis v1.97.7 Scan saved at 17:09:39, on 30.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE81.exe C:\WINDOWS\System32\wdfmgr.exe D:\Programme\Yahoo!\Messenger\YPager.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\totalcmd\TOTALCMD.EXE I:\Setup\Virus\HijackThis.exe C:\WINDOWS\System32\svchost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6398193 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6398193 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - d:\Programme\Systran\4_0\Premium\IEPlugIn.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot O4 - HKCU\..\Run: [RoboForm] "D:\Programme\RoboForm\RoboTaskBarIcon.exe" O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: RF - &Formular speichern - file://D:\Programme\RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - &Menü anpassen - file://D:\Programme\RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - Formular ausf&üllen - file://D:\Programme\RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - RoboForm-&Leiste - file://D:\Programme\RoboForm\RoboFormComShowToolbar.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Ausfüllen (HKLM) O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM) O9 - Extra button: Speichern (HKLM) O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM) O9 - Extra button: RoboForm (HKLM) O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste (HKLM) O9 - Extra button: Voiceglo directory (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Postguard (HKLM) O9 - Extra 'Tools' menuitem: Postguard starten (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: Win32 Classes - O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab mfg Bozoman |
|
|
||
30.11.2004, 17:40
Ehrenmitglied
Beiträge: 29434 |
#96
Hallo@Bozoman
HijackThis/1.98.2 : laden (!) http://www.downloads.subratam.org/hijackthis.zip ---------------------------------------------------------------------------- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6398193 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6398193 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Programme\RoboForm\RoboForm.dll O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL (file missing) O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - d:\Programme\Systran\4_0\Premium\IEPlugIn.dll O4 - HKCU\..\Run: [RoboForm] "D:\Programme\RoboForm\RoboTaskBarIcon.exe" O8 - Extra context menu item: RF - &Formular speichern - file://D:\Programme\RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - &Menü anpassen - file://D:\Programme\RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - Formular ausf&üllen - file://D:\Programme\RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - RoboForm-&Leiste - file://D:\Programme\RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Ausfüllen (HKLM) O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM) O9 - Extra button: Speichern (HKLM) O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM) O9 - Extra button: RoboForm (HKLM) O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste (HKLM) O9 - Extra button: Voiceglo directory (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Postguard (HKLM) O9 - Extra 'Tools' menuitem: Postguard starten (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: Win32 Classes - O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab neustarten #Deinstallieren: -->>Systemsteuerung -> Software" <RoboForm <GamyunNetToolbar #Windows\Downloaded Programm Files -->löschen. #Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporäre Internet-Dateien<Dateien löschen #Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #öffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\Programme\MySearch\bar\1.bin\S4BAR.DLL 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINDOWS\nsdb\hosts D:\Programme\RoboForm\RoboForm.dll d:\Programme\Systran\4_0\Premium\IEPlugIn.dll Erst beim letzten klickst du "Yes" und startest den PC neu. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! falls du keinen Virenscanner hast, lade #Antivirus (free) http://www.free-av.de/ und mache einen Komplettscann, arbeite das ab #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.11.2004 um 17:45 Uhr von Sabina editiert.
|
|
|
||
02.12.2004, 04:49
Member
Beiträge: 12 |
#97
Hallo Sabina.....habe auch ein problem wäre schön wenn du helfen könntest.
Logfile of HijackThis v1.98.2 Scan saved at 04:48:37, on 02.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\0190WA~1\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG03.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\RamBooster\Rambooster.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {23511FF8-B6E1-4DF1-A87B-D3BA314481A7} - C:\WINDOWS\System32\pgpdmh.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fae55a2eadf1eb50d6b8e66a88 4e50a8e5d8b0323c7d0606840b0284676c90913686bd7f1461913daf1cd5520ef42daeb8 ad7fb957ad25436872874ea8238fc4:5d09d33a15a1722a6056772fcbfaa030 O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253 O18 - Filter: text/html - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll O18 - Filter: text/plain - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll bitte um hilfe. Danke Dieser Beitrag wurde am 02.12.2004 um 12:51 Uhr von Sabina editiert.
|
|
|
||
02.12.2004, 12:48
Ehrenmitglied
Beiträge: 29434 |
#98
Hallo@Reigam
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {23511FF8-B6E1-4DF1-A87B-D3BA314481A7} - C:\WINDOWS\System32\pgpdmh.dll O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fae55a2eadf1eb50d6b8e66a O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O18 - Filter: text/html - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll O18 - Filter: text/plain - {FF20A82F-1DE9-419B-95FA-3620FDDE1E39} - C:\WINDOWS\System32\pgpdmh.dll PC neustarten #Start<Ausfuehren< reinschreiben: cmd: reinkopieren: attrib -h %systemroot%\System32\pgpdmh.dll & ren %systemroot%\System32\pgpdmh.dll Badfile.bad <enter< #Start<Ausfuehren< reinschreiben: cmd: reinkopieren: regsvr32 /u c:\system32\pgpdmh.dll 1.)öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\WINDOWS\System32\pgpdmh.dll 4.) PC neustarten #C:\Windows\Downloaded Programm Files --> ALLE löschen. Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Dann poste das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.12.2004 um 12:49 Uhr von Sabina editiert.
|
|
|
||
02.12.2004, 13:04
Member
Beiträge: 12 |
#99
hab versucht "attrib -h %systemroot%\System32\pgpdmh.dll & ren %systemroot%\System32\pgpdmh.dll Badfile.bad"
reinzukopieren........da kommt dann immer:"das sytem kann die angegeben datei nich finden" bei dem "regsvr32 /u c:\system32\pgpdmh.dll" kommt imer:das angegebene modul wurde nich gefunden..... hast du einen tip? |
|
|
||
02.12.2004, 13:20
Ehrenmitglied
Beiträge: 29434 |
#100
dann arbeite die anderen Punkte ab.
HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.12.2004 um 13:25 Uhr von Sabina editiert.
|
|
|
||
02.12.2004, 16:32
Member
Beiträge: 12 |
#101
so hab es jetzt durchgearbeitet....hier das neue log file
Logfile of HijackThis v1.99.0 Scan saved at 16:30:39, on 02.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\0190WA~1\w0svc.exe C:\WINDOWS\Dit.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\RamBooster\Rambooster.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\hijackthis199_beta\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe sieht irgendwie immer noch nich sauber aus oder!?!?! Dieser Beitrag wurde am 02.12.2004 um 16:53 Uhr von Sabina editiert.
|
|
|
||
02.12.2004, 16:52
Ehrenmitglied
Beiträge: 29434 |
#102
Hallo@Reigam
Fixe: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank neustarten und scanne noch mal mit mwav.exe (Escan) gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern. dann stelle eine Startseite ein und poste das Log noch mal. (mit dem IE) _________________________________________________ #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.12.2004 um 17:02 Uhr von Sabina editiert.
|
|
|
||
02.12.2004, 22:45
Member
Beiträge: 12 |
#103
@sabina
irgendwie bin ich zu doof............aber wenn ich die viren mit killbox löschen will erscheint immer:"File doesn´t seem to exist" was soll ich machen?????? sorry will ja nich nerven aber weiss nich weiter. hier das letzte log file. Logfile of HijackThis v1.99.0 Scan saved at 22:44:23, on 02.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\0190WA~1\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\RamBooster\Rambooster.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\hijackthis199_beta\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102002672374 O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe danke für die hilfe |
|
|
||
03.12.2004, 00:18
Ehrenmitglied
Beiträge: 29434 |
#104
Hallo@Reigam
Scanne bitte noch mal mit eScan und Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, Lade hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpacke die Zip-Datei in einen eigenem Ordner. Anschließend starte aus diesem Ordner die Datei runme.bat. erhalte zwei Log-Dateien. 1x eine look.log und eine err.log. Poste bitte dessen Inhalt hier. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.12.2004 um 00:35 Uhr von Sabina editiert.
|
|
|
||
03.12.2004, 18:04
Member
Beiträge: 12 |
#105
so hier die infizierten dateien:
C:\DOKUME~1\Sucker\LOKALE~1\TEMPOR~1\Content.IE5\WTEFSH6F\c[1].htm infected by "Exploit.HTML.Iframebof" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\EasyDivX_082.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\YVD080.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\Dokumente und Einstellungen\Sucker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTEFSH6F\c[1].htm infected by "Exploit.HTML.Iframebof" Virus. Action Taken: No Action Taken. C:\EasyDivX\softs\ck.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0006618.exe tagged as not-a-virus:AdWare.Cydoor. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008168.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008795.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008796.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008797.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0016111.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0017803.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018420.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018421.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018422.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001272.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001313.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP68\A0021249.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. D:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP54\A0014692.exe tagged as not-a-virus:Joke.Win32.Oups. No Action Taken. D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\EasyDivX_082.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\EasyDivX_082.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\YVD080.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\EasyDivX\softs\ck.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0006618.exe tagged as not-a-virus:AdWare.Cydoor. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008168.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008795.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008796.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0008797.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0016111.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0017803.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018420.dll tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018421.exe tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{9EFE479D-F7B0-4A42-9D5F-187E804BDC4B}\RP2\A0018422.ocx tagged as not-a-virus:AdWare.DelphinMediaViewer.a. No Action Taken. C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001272.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP15\A0001313.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP68\A0021249.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. D:\System Volume Information\_restore{F5BAA7C4-CDD3-42C6-B590-C152C5710B3F}\RP54\A0014692.exe tagged as not-a-virus:Joke.Win32.Oups. No Action Taken. D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. und hier Looklog. An Ms4Hd_look by IMM (v0.003) Version Info: 5.1000 = Windows XP Pro (Build 2600) The volume containing the system directory is C: () HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues Error: Unable to open key (Return Code was 2) HKLM\Software\Microsoft\Windows\CurrentVersion\Run (1 subkey(s) and 15 values) last modified 11:33 3/12/2004 (UTC) [SoundMan] "SOUNDMAN.EXE" (SZ) [Dit] "Dit.exe" (SZ) [NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" (SZ) [nwiz] "nwiz.exe /install" (SZ) [0190 Warner] "C:\PROGRA~1\0190WA~1\WARN0190.EXE" (SZ) [NvMediaCenter] "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" (SZ) [WinampAgent] "C:\Programme\Winamp\winampa.exe" (SZ) [DAEMON Tools-1033] ""C:\Programme\D-Tools\daemon.exe" -lang 1033" (SZ) [HPDJ Taskbar Utility] "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" (SZ) [Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" (SZ) [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0\bin\jusched.exe" (SZ) [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE /min" (SZ) [KernelFaultCheck] "%systemroot%\system32\dumprep 0 -k" (EXPAND_SZ) [NeroFilterCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ) [Zone Labs Client] ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" (SZ) und hier err.log. Restored RtlCreateUserProcess (Ordinal 475) (at 77F6C341) 6A 60 68 B8 CC F6 77 E8 CF 58 00 00 6A 11 59 33 C0 8B 75 2C 8B FE F3 AB C7 06 44 00 00 00 6A 01 8D 45 E4 50 8B 45 0C 83 E0 42 50 FF 75 08 E8 B4 02 00 00 33 DB 3B C3 0F 8C FA 01 00 00 FF 75 E4 68 00 00 00 01 6A 10 53 53 68 1F 00 0F 00 8D 45 E0 50 E8 3B 23 00 00 8B F8 FF 75 E4 E8 A1 21 00 00 3B FB 0F 8C 63 30 01 00 39 5D 1C 75 04 83 4D 1C FF 6A 18 5F 89 7D C8 89 5D CC 89 5D D4 89 5D D0 8B 45 14 89 45 D8 89 5D DC E8 04 5D FD FF A9 00 00 02 00 0F 85 39 30 01 00 38 5D 20 75 06 8B 45 10 89 58 2C 8D 7E 04 FF 75 28 FF 75 24 FF 75 E0 FF 75 20 FF 75 1C 8D 45 C8 50 68 FF 0F 1F 00 57 E8 E3 3C 09 E6 6A 60 68 B8 CC F6 77 E8 CF 58 00 00 6A 11 59 33 C0 8B 75 2C 8B FE F3 AB C7 06 44 00 00 00 6A 01 8D 45 E4 50 8B 45 0C 83 E0 42 50 FF 75 08 E8 B4 02 00 00 33 DB 3B C3 0F 8C FA 01 00 00 FF 75 E4 68 00 00 00 01 6A 10 53 53 68 1F 00 0F 00 8D 45 E0 50 E8 3B 23 00 00 8B F8 FF 75 E4 E8 A1 21 00 00 3B FB 0F 8C 63 30 01 00 39 5D 1C 75 04 83 4D 1C FF 6A 18 5F 89 7D C8 89 5D CC 89 5D D4 89 5D D0 8B 45 14 89 45 D8 89 5D DC E8 04 5D FD FF A9 00 00 02 00 0F 85 39 30 01 00 38 5D 20 75 06 8B 45 10 89 58 2C 8D 7E 04 FF 75 28 FF 75 24 FF 75 E0 FF 75 20 FF 75 1C 8D 45 C8 50 68 FF 0F 1F 00 57 E8 9C 22 00 00 Restored CopyFileA (Ordinal 59) (at 77E4BD13) FF 25 EE 6F 14 00 55 8B EC 51 51 56 Restored CopyFileExA (Ordinal 60) (at 77E967A9) FF 25 7E 74 14 00 55 8B EC 51 51 56 Restored CopyFileExW (Ordinal 61) (at 77E4B350) FF 25 C6 76 14 00 6A 14 68 30 13 E6 Restored CopyFileW (Ordinal 62) (at 77E43181) FF 25 36 72 14 00 33 C0 33 C9 39 44 Restored CreateFileA (Ordinal 75) (at 77E5A837) FF 25 BE 86 14 00 55 8B EC FF 75 08 Restored CreateFileW (Ordinal 78) (at 77E579B1) FF 25 06 89 14 00 55 8B EC 83 EC 58 Restored FreeLibrary (Ordinal 230) (at 77E60618) 53 8B 5C 24 08 F6 C3 01 56 0F 85 81 0A FF FF 53 E8 74 FB 19 E6 53 8B 5C 24 08 F6 C3 01 56 0F 85 81 0A FF FF 53 E8 E5 FF FF FF Restored GetProcAddress (Ordinal 394) (at 77E5A5FD) FF 25 A6 6D 14 00 55 8B EC 51 51 53 Restored LoadLibraryExW (Ordinal 561) (at 77E6049B) FF 25 0E 53 14 00 6A 34 68 90 5B E7 Restored MoveFileA (Ordinal 587) (at 77E51AFE) FF 25 0E 79 14 6A 02 6A 00 6A Restored MoveFileExA (Ordinal 588) (at 77E445E4) FF 25 9E 7D 14 FF 74 24 0C 6A Restored MoveFileExW (Ordinal 589) (at 77E430F1) FF 25 E6 7F 14 FF 74 24 0C 6A Restored MoveFileW (Ordinal 590) (at 77E44B7C) FF 25 56 7B 14 6A 02 6A 00 6A Restored MoveFileWithProgressA (Ordinal 591) (at 77E51A92) FF 25 2E 82 14 00 55 8B EC 83 EC 10 Restored MoveFileWithProgressW (Ordinal 592) (at 77E51783) FF 25 76 84 14 00 68 9C 00 00 00 68 |
|
|
||
Hier mal meine Log file hab schon paar sachen versucht klappt aber ned.
CWshredder adaware escan.
escan findet zwar dateien hab aber kein plan wie ich die kille.
hier mal hijackthis.log
Logfile of HijackThis v1.97.7
Scan saved at 10:19:32, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\crsrr.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\iprv32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\msmb.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-aware.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sanji\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gyoff.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gyoff.dll/sp.html#11111
O2 - BHO: (no name) - {D6F9CC6E-C899-A041-064C-1A2E04A794C8} - C:\WINDOWS\system32\sdkrp.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Printer Driver Helper Service] C:\WINDOWS\System32\crsrr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iprv32.exe] C:\WINDOWS\system32\iprv32.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Danke schonmal im vorraus.
Grüsse N1kk0