Problem (Startseite ändert sich von selbst, Pop-Ups)

#0
04.12.2004, 01:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#106 Hallo@Reigam

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Dann scanne noch mal mit eScan und poste das neue Log vom HijackThis.
--> not-a-virus:Tool.Win32.Reboot. nicht loeschen..sind keine Viren (!)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.12.2004 um 01:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.12.2004, 15:22
Member

Beiträge: 12
#107 so hier das neue hijackthis log.

Logfile of HijackThis v1.99.0
Scan saved at 15:19:34, on 04.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\RamBooster\Rambooster.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Sucker\Eigene Dateien\Eigene Downloads\hijackthis199_beta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RamBooster] C:\Programme\RamBooster\Rambooster.exe
O4 - Startup: RAMinator.lnk = C:\Programme\RAMinator\RAMinator.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102002672374
O17 - HKLM\System\CCS\Services\Tcpip\..\{29F49376-BBB3-4140-8334-4F928DB8B38D}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
04.12.2004, 17:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#108 Hallo@Reigam

Das Log ist sauber ;)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2004, 19:23
Member

Beiträge: 12
#109 dann bin ich ja beruhigt danke sehr für deine hilfe!

Greetz Reigam
Seitenanfang Seitenende
04.12.2004, 21:37
Member

Beiträge: 20
#110 Hallo Sabina

Ich danke dir viel mals ich bin mit allem fertig ich starte jetzt den computer neu soll ich dir dann noch mal mein log schreiben oder ist es schon fertig

mfg Bozoman
Seitenanfang Seitenende
05.12.2004, 12:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#111 Hallo@Bozoman

Immer her mit dem Log...bis kein gruenes Licht kommst, kannst du immer mit mir kommunizieren und alles berichten, was du gemacht hast und alles posten.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2004, 16:51
Member

Beiträge: 20
#112 Hallo Sabina

Ok

hier ist mein log

Logfile of HijackThis v1.98.2
Scan saved at 16:48:51, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\PTBSync.EXE
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\Real\RealPlayer\RealPlay.exe
D:\PROGRA~1\PESTPA~1\PPMemCheck.exe
D:\PROGRA~1\PESTPA~1\CookiePatrol.exe
D:\Programme\OpenOffice.org1.1.1\program\soffice.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\totalcmd\TOTALCMD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
d:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\EMRE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RealTray] d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PPMemCheck] D:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot
O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

mfg Bozoman
Seitenanfang Seitenende
05.12.2004, 17:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#113 Hallo@Bozoman

Das sieht schon besser aus.

Fixe:
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)

dann scanne mit mwav.exe (eScan)
und poste , was infiziert ist.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten


Lade hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpacke die Zip-Datei in einen eigenem Ordner.
Anschließend starte aus diesem Ordner die Datei runme.bat. erhalte zwei Log-Dateien. 1x eine look.log und eine err.log. Poste bitte dessen Inhalt hier.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 17:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 20:43
Member

Beiträge: 20
#114 Hallo Sabina

Das sind die Einträge!!!

File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\svchost.exe infected by "TrojanProxy.Win32.Agent.br" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039442.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039445.exe infected by "Worm.P2P.Tibick" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043018.DLL infected by "TrojanDownloader.Win32.Esepor.u" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken.
Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.

Und das ist von ms4hd
An Ms4Hd_look by IMM (v0.003)
Version Info: 5.1000 = Windows XP Pro (Build 2600)
The volume containing the system directory is C: ()

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Error: Unable to open key (Return Code was 2)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(0 subkey(s) and 11 values) last modified 16:20 5/12/2004 (UTC)
[CloneCDElbyCDFL] ""D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" (SZ)
[CloneCDTray] ""D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"" (SZ)
[Atomuhr Synchronisation] "PTBSync.EXE /Start" (SZ)
[NeroFilterCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ)
[NeroCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ)
[RemoteControl] ""D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" (SZ)
[NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" (SZ)
[RealTray] "d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER" (SZ)
[PPMemCheck] "D:\PROGRA~1\PESTPA~1\PPMemCheck.exe" (SZ)
[CookiePatrol] "D:\PROGRA~1\PESTPA~1\CookiePatrol.exe" (SZ)
[AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE /min" (SZ)

das war look.log, aber in err.log stand nichts drin

und das ist von HijackThis
Logfile of HijackThis v1.98.2
Scan saved at 20:42:31, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\PTBSync.EXE
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\Real\RealPlayer\RealPlay.exe
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\OpenOffice.org1.1.1\program\soffice.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\SlimBrowser\sbrowser.exe
D:\Programme\totalcmd\TOTALCMD.EXE
C:\Dokumente und Einstellungen\EMRE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RealTray] d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot
O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll



mfg Bozoman
Seitenanfang Seitenende
05.12.2004, 20:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#115 Hallo@Bozoman

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\System32\server.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\System32\sysupd1003.exe
C:\WINDOWS\System32\bmk13.exe
C:\WINDOWS\SYSTEM\svchost.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Dann scanne noch mal mit mwav.exe und berichte.

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 20:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 21:55
Member

Beiträge: 20
#116 Hallo Sabina

Ich habe alles gemacht was du geschrieben hast

escan:
File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\YHLEBITW\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\RZHRBHKS\bridge-c284[1].cab tagged as not-a-virus:AdWare.WinAD. No Action Taken.


Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 21:49:36, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\PTBSync.EXE
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Programme\Real\RealPlayer\RealPlay.exe
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\OpenOffice.org1.1.1\program\soffice.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\EMRE\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\EMRE\LOKALE~1\Temp\kavss.exe
D:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\EMRE\Desktop\HijackThis-Beta.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RealTray] d:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SSS7] "C:\Programme\Steganos Security Suite 7\SSS7.exe" -boot
O4 - Startup: OpenOffice.org 1.1.1.lnk = D:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] - Unknown - C:\WINDOWS\System32\SLEE81.exe

mfg Bozoman
Seitenanfang Seitenende
05.12.2004, 21:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#117 Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne noch mal mit eScan und berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2004, 22:13
Member

Beiträge: 20
#118 Hallo Sabina

und hier ist es noch mal von mwav-Editor-suchen-infected

File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\svchost.exe infected by "TrojanProxy.Win32.Agent.br" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039442.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039445.exe infected by "Worm.P2P.Tibick" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043018.DLL infected by "TrojanDownloader.Win32.Esepor.u" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken.
Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Total Disinfected Files: 0
File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
Total Disinfected Files: 0
File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\YHLEBITW\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

mfg Bozoman
Seitenanfang Seitenende
05.12.2004, 22:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#119 hast du gescannt NACH Deaktivierung der Wiederherstellung und loeschen der Viren ?
_____________________________________________________________________________
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\System32\server.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\System32\sysupd1003.exe
C:\WINDOWS\System32\bmk13.exe
C:\WINDOWS\SYSTEM\svchost.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Dann scanne noch mal mit mwav.exe und berichte.

__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.12.2004 um 22:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 22:38
Member

Beiträge: 20
#120 das hattest du doch schonmal geschrieben da habe ich genau so gemacht wie du es geschrieben hast jetzt habe ich das nochmal gemacht hoffentlich wird es jetzt besser ich schick dir gleich escan ergebnis
mfg Bozoman
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »