Problem (Startseite ändert sich von selbst, Pop-Ups) |
||
---|---|---|
#0
| ||
04.12.2004, 01:17
Ehrenmitglied
Beiträge: 29434 |
||
|
||
04.12.2004, 15:22
Member
Beiträge: 12 |
#107
so hier das neue hijackthis log.
Logfile of HijackThis v1.99.0 Scan saved at 15:19:34, on 04.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Winamp\winampa.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\0190WA~1\w0svc.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\RamBooster\Rambooster.exe C:\WINDOWS\DitExp.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\hijackthis199_beta\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102002672374 O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
04.12.2004, 17:37
Ehrenmitglied
Beiträge: 29434 |
||
|
||
04.12.2004, 19:23
Member
Beiträge: 12 |
||
|
||
04.12.2004, 21:37
Member
Beiträge: 20 |
#110
Hallo Sabina
Ich danke dir viel mals ich bin mit allem fertig ich starte jetzt den computer neu soll ich dir dann noch mal mein log schreiben oder ist es schon fertig mfg Bozoman |
|
|
||
05.12.2004, 12:41
Ehrenmitglied
Beiträge: 29434 |
#111
Hallo@Bozoman
Immer her mit dem Log...bis kein gruenes Licht kommst, kannst du immer mit mir kommunizieren und alles berichten, was du gemacht hast und alles posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2004, 16:51
Member
Beiträge: 20 |
#112
Hallo Sabina
Ok hier ist mein log Logfile of HijackThis v1.98.2 Scan saved at 16:48:51, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\PTBSync.EXE D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe D:\Programme\Real\RealPlayer\RealPlay.exe D:\PROGRA~1\PESTPA~1\PPMemCheck.exe D:\PROGRA~1\PESTPA~1\CookiePatrol.exe D:\Programme\OpenOffice.org1.1.1\program\soffice.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE81.exe C:\WINDOWS\System32\svchost.exe D:\Programme\totalcmd\TOTALCMD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE d:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\SlimBrowser\sbrowser.exe C:\Dokumente und Einstellungen\EMRE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RealTray] d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [PPMemCheck] D:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] D:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll mfg Bozoman |
|
|
||
05.12.2004, 17:05
Ehrenmitglied
Beiträge: 29434 |
#113
Hallo@Bozoman
Das sieht schon besser aus. Fixe: R3 - Default URLSearchHook is missing O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll (file missing) dann scanne mit mwav.exe (eScan) und poste , was infiziert ist. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten Lade hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpacke die Zip-Datei in einen eigenem Ordner. Anschließend starte aus diesem Ordner die Datei runme.bat. erhalte zwei Log-Dateien. 1x eine look.log und eine err.log. Poste bitte dessen Inhalt hier. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.12.2004 um 17:07 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 20:43
Member
Beiträge: 20 |
#114
Hallo Sabina
Das sind die Einträge!!! File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\svchost.exe infected by "TrojanProxy.Win32.Agent.br" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039442.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039445.exe infected by "Worm.P2P.Tibick" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043018.DLL infected by "TrojanDownloader.Win32.Esepor.u" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken. Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. Und das ist von ms4hd An Ms4Hd_look by IMM (v0.003) Version Info: 5.1000 = Windows XP Pro (Build 2600) The volume containing the system directory is C: () HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues Error: Unable to open key (Return Code was 2) HKLM\Software\Microsoft\Windows\CurrentVersion\Run (0 subkey(s) and 11 values) last modified 16:20 5/12/2004 (UTC) [CloneCDElbyCDFL] ""D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" (SZ) [CloneCDTray] ""D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"" (SZ) [Atomuhr Synchronisation] "PTBSync.EXE /Start" (SZ) [NeroFilterCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ) [NeroCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ) [RemoteControl] ""D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" (SZ) [NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" (SZ) [RealTray] "d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" (SZ) [PPMemCheck] "D:\PROGRA~1\PESTPA~1\PPMemCheck.exe" (SZ) [CookiePatrol] "D:\PROGRA~1\PESTPA~1\CookiePatrol.exe" (SZ) [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE /min" (SZ) das war look.log, aber in err.log stand nichts drin und das ist von HijackThis Logfile of HijackThis v1.98.2 Scan saved at 20:42:31, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\PTBSync.EXE D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe D:\Programme\Real\RealPlayer\RealPlay.exe D:\Programme\PestPatrol\PPMemCheck.exe D:\Programme\PestPatrol\CookiePatrol.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\OpenOffice.org1.1.1\program\soffice.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE81.exe C:\WINDOWS\System32\svchost.exe D:\Programme\SlimBrowser\sbrowser.exe D:\Programme\totalcmd\TOTALCMD.EXE C:\Dokumente und Einstellungen\EMRE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RealTray] d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll mfg Bozoman |
|
|
||
05.12.2004, 20:48
Ehrenmitglied
Beiträge: 29434 |
#115
Hallo@Bozoman
1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\System32\server.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINDOWS\System32\sysupd1003.exe C:\WINDOWS\System32\bmk13.exe C:\WINDOWS\SYSTEM\svchost.exe Erst beim letzten klickst du "Yes" und startest den PC neu. Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Dann scanne noch mal mit mwav.exe und berichte. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.12.2004 um 20:50 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 21:55
Member
Beiträge: 20 |
#116
Hallo Sabina
Ich habe alles gemacht was du geschrieben hast escan: File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\YHLEBITW\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\RZHRBHKS\bridge-c284[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken. Logfile of HijackThis v1.99.0 (BETA) Scan saved at 21:49:36, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\PTBSync.EXE D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe D:\Programme\Real\RealPlayer\RealPlay.exe D:\Programme\PestPatrol\PPMemCheck.exe D:\Programme\PestPatrol\CookiePatrol.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\OpenOffice.org1.1.1\program\soffice.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE81.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\EMRE\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\EMRE\LOKALE~1\Temp\kavss.exe D:\Programme\SlimBrowser\sbrowser.exe C:\Dokumente und Einstellungen\EMRE\Desktop\HijackThis-Beta.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RealTray] d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Steganos Live Encryption Engine 8.1 [Service] - Unknown - C:\WINDOWS\System32\SLEE81.exe mfg Bozoman |
|
|
||
05.12.2004, 21:58
Ehrenmitglied
Beiträge: 29434 |
#117
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k dann scanne noch mal mit eScan und berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2004, 22:13
Member
Beiträge: 20 |
#118
Hallo Sabina
und hier ist es noch mal von mwav-Editor-suchen-infected File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\svchost.exe infected by "TrojanProxy.Win32.Agent.br" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039442.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039445.exe infected by "Worm.P2P.Tibick" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043018.DLL infected by "TrojanDownloader.Win32.Esepor.u" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken. Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* Total Disinfected Files: 0 File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. Total Disinfected Files: 0 File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\YHLEBITW\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken. mfg Bozoman |
|
|
||
05.12.2004, 22:16
Ehrenmitglied
Beiträge: 29434 |
#119
hast du gescannt NACH Deaktivierung der Wiederherstellung und loeschen der Viren ?
_____________________________________________________________________________ 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\System32\server.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINDOWS\System32\sysupd1003.exe C:\WINDOWS\System32\bmk13.exe C:\WINDOWS\SYSTEM\svchost.exe Erst beim letzten klickst du "Yes" und startest den PC neu. Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Dann scanne noch mal mit mwav.exe und berichte. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.12.2004 um 22:18 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 22:38
Member
Beiträge: 20 |
#120
das hattest du doch schonmal geschrieben da habe ich genau so gemacht wie du es geschrieben hast jetzt habe ich das nochmal gemacht hoffentlich wird es jetzt besser ich schick dir gleich escan ergebnis
mfg Bozoman |
|
|
||
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
Dann scanne noch mal mit eScan und poste das neue Log vom HijackThis.
--> not-a-virus:Tool.Win32.Reboot. nicht loeschen..sind keine Viren (!)
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit