Problem (Startseite ändert sich von selbst, Pop-Ups)

#0
05.12.2004, 22:44
Member

Beiträge: 20
#121 ich habe gescant
aber unter bei vris log information stand gar nicht dann habe ich doch kein virus mehr oder
Seitenanfang Seitenende
05.12.2004, 22:51
Member

Beiträge: 20
#122 und hier noch mal von mwav-editor-suchen-infected


File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\svchost.exe infected by "TrojanProxy.Win32.Agent.br" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039442.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043018.DLL infected by "TrojanDownloader.Win32.Esepor.u" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken.
Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken
File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\YHLEBITW\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

mfg Bozoman
Seitenanfang Seitenende
05.12.2004, 23:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#123 #öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
____________________________________________________________
-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz...wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\System32\server.exe
C:\WINDOWS\System32\sysupd1003.exe
C:\WINDOWS\System32\bmk13.exe
C:\WINDOWS\SYSTEM\svchost.exe

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Zum Starten des Dienstprogramms Datenträgerbereinigung klicken
Sie auf Start, zeigen auf Programme, zeigen auf Zubehör, zeigen auf Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.12.2004 um 21:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.12.2004, 23:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#124 Wenn es dann immer noch nicht weg sein sollte: deinstalliere deinen FreeVirenscanner fuer 15 Tage und lade den eScan Trial (scanne unbedingt im abgesicherten Modus)

#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

klicke auf: awn2k3e.exe

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2004, 00:16
Member

Beiträge: 20
#125 #öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
____________________________________________________________
-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz...wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\System32\server.exe
C:\WINDOWS\System32\sysupd1003.exe
C:\WINDOWS\System32\sysupd1003.exe
C:\WINDOWS\System32\bmk13.exe
C:\WINDOWS\SYSTEM\svchost.exe ---------

als ich C:\WINDOWS\SYSTEM\svchost.exe gelöscht hab kam eine fehlermeldung oder warnung das stand das der computer nach 30 sek automatisch ausgeschaltet wird

des wegen konnte ich nicht weiter was soll ich den jetzt machen
ach ja noch was wie mach abgesicherte modus (weil ich habe es noch nie gemacht)
ich schreib dann morgen nochmal

mfg Bozoman
Seitenanfang Seitenende
06.12.2004, 00:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#126 <gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

(mache dich mit dem Gedanken einer Neuinstallation von Windows vertraut)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2004, 09:17
Member

Beiträge: 20
#127 Ich habe aber noch eine Frage

Jetzt ändert sich meine Startseite überhaupt nicht mehr, Ich bekomm auch keine Werbung mehr von irgend welche Seiten was ist denn noch Falsch
mfg Bozoman
Seitenanfang Seitenende
06.12.2004, 11:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#128 Hallo@Bozoman

Du hast:
<TrojanDownloader.Win32.Small.xl"
<TrojanClicker.Win32.Small.an"
<Trojan.Win32.Favadd.a"
<TrojanProxy.Win32.Agent.br" (!)

An deiner Stelle wuerde ich die Wiederherstellung deaktivieren, die Datentraegerbereinigung machen , den Antivirenscanner deinstallieren und eScan laden (Trial), in den abgesicherten Modus gehen und scannen.

Dann mit eScan (mwav.exe) ueberpruefen, ob alles sauber ist.
____________________________________________________________________
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.12.2004 um 11:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.12.2004, 17:07
Member

Beiträge: 20
#129 Hallo Sabina
Systemwiederherstellung deaktivieren habe ich schon gemacht den datenträger bereinigen macht man doch mit ausführen cleanmgr wenn ja dann habe ich das auch gemacht antivierenscanner? meinst du antivirus?
escan (trial) habe ich auch schon installiert abgesicherte modus habe ich auch gelesen wie das geht (dank dir). Dann mach ich das ganze noch mal und informiere dich ok

mfg Bozoman
Seitenanfang Seitenende
18.12.2004, 20:13
...neu hier

Beiträge: 1
#130 Hallo habe ebenfalls Probleme mit selbstinstallierenden Programmen und PopUps. Habe auch die Schritte nach besten Geweissen befolgt, konnte aber immernoch keine Besserung herstellen.

Hier meine hijack this logfile:

Logfile of HijackThis v1.99.0
Scan saved at 20:11:46, on 18.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\SIM\sim.exe
C:\PROGRA~1\VBOUNCER\VIRTUA~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Temp\hijackthis199\HijackThis.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--------------------------

Ich hoffe jemand kann mir helfen! Ich danke euch sehr!
Uwe
Dieser Beitrag wurde am 18.12.2004 um 20:14 Uhr von uworissimo editiert.
Seitenanfang Seitenende
18.12.2004, 21:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#131 Hallo@uworissimo

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Entpacke die Tools in einem Ordner, den du dann im abgesicherten Modus leicht wiederfindest.
Lade und update , wie erklaert wird --<noch nicht scannen
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Killbox
http://www.bleepingcomputer.com/files/killbox.php

Deaktiviere den Symantec und lade:
#eScan-Trial --> noch nicht scannen
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)

PC neustarten
<gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loesche:

<C:\Programme\SIM\
<C:\PROGRA~1\VBOUNCER\
<C:\Program Files\Windows ControlAd

dann klicke mwav.exe (escan)-->klicke auf: mwav.exe und scanne alles durch.
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

du wirst mehrere exe und dll als infiziert sehen.
die loescht sie mit der Killbox.(einfach den kompletten Pfad einkopieren)
Aber vorher ueberpruefe das Datum und die Zeit, wann die Malware geladen wurde (innerhalb einer Stunde etwa)ca 3-6 Dateien im selben Zeitraum (1 Std.),

suche dann mit der Suchfunktion von Windows (dll eingeben) diejenigen, die zu der Malware (dem Zeitpunkt nach) gehoeren und loesche sie manuell.

du muesstest finden und loeschen:
<C:\!Submit\VT00.exe
<C:\Windows\VT00.exe
<C:\WINDOWS\Guard.tmp
<C:Windows\System32\SpOrder.dll
<C:Windows\System32\akcore.dll

und dann noch andere, die jedesmal verschieden sein koennen (also auf das Datum achten)
eventuell:
<C:\WINDOWS\system32\akrules.dll
<C:\WINDOWS\system32\winupdak.dll
<C:\WINDOWS\system32\winrulesak.dll
usw. usw.....

loeschen mit der Killbox;)die vom eScan gefundenen Dateien)
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"-->neustarten und wieder in den abgesicherten Modus gehen


Datenträgerbereinigung:
(im abgesicherten Modus) und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne (ebenfalls im abgesicherten Modus mit dem eScan (trial)-->klicke auf: awn2k3e.exe

gehe wieder in den Normalmodus:

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Dann poste das neue HijackThis (und berichte)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.12.2004 um 21:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.12.2004, 21:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#132 Hallo@Bozoman

1.scanne mit eScan (mwav.exe) und poste, was noch als infiziert angezeigt wird)
2.Poste das neue Log vom HijackThis....zur Ueberpruefung
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.12.2004 um 21:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.12.2004, 11:37
Member

Beiträge: 13
#133 hi, kann mir jemand bitte helfen ich habe folgendes problem :
meine startseite wird immer verändert obwohl ich die immer wireider umänder und wenn mal eine seite nicht angezeigt werden kann werde ich automatisch auf irgendeine dumme seite umgeleitet. auch wenn es nur ein banner ist der net angezeigt werden kann!!! bittteeeeee hellllllllft mir!!!!!!!!

hier mein hijack bericht:

Logfile of HijackThis v1.99.0
Scan saved at 11:35:21, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\temp\msbb.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Common files\updater\wupdater.exe
C:\WINDOWS\system32\vmmymutl.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CA\eTrust Antivirus\Realmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Steam\Steam.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis199[1]\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - C:\Programme\ClearSearch\CSIE.DLL
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing)
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem300.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\Programme\Bargain Buddy\bin2\apuc.dll (file missing)
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKLM\..\Run: [efsomxnu] C:\WINDOWS\system32\vmmymutl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Echzeitüberwachung.lnk = C:\Programme\CA\eTrust Antivirus\Realmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: PowerCinema Service.lnk = C:\Programme\Home Cinema\PowerCinema\PCMService.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net/DM0/cab/trad3rp.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c388.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/mp3.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {95E5A0FC-6CFB-4EB6-B649-7A9AA877A7A9} (Pcksloader Control) - http://www.pckindersicherung.de/pcks/pcks.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC96CE7-F972-4DF6-BF51-D31EA5E0C76B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 195.50.140.250 145.253.2.203
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\system32\angelex.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe
Seitenanfang Seitenende
19.12.2004, 12:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#134 Hallo@NoYz

Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html

gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.12.2004 um 12:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.12.2004, 15:25
Member

Beiträge: 13
#135 sry dass es so lange gedauert hat aber ich war kurz weg

welche log meinst du?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »