Problem (Startseite ändert sich von selbst, Pop-Ups) |
||
---|---|---|
#0
| ||
05.12.2004, 22:44
Member
Beiträge: 20 |
||
|
||
05.12.2004, 22:51
Member
Beiträge: 20 |
#122
und hier noch mal von mwav-editor-suchen-infected
File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\svchost.exe infected by "TrojanProxy.Win32.Agent.br" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\sysupd1003.exe infected by "TrojanClicker.Win32.Small.an" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM32\bmk13.exe infected by "Trojan.Win32.Favadd.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP106\A0039442.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043018.DLL infected by "TrojanDownloader.Win32.Esepor.u" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2995D988-060D-4489-9E39-91801D89D0D9}\RP111\A0043019.exe infected by "TrojanDownloader.Win32.Esepor.y" Virus. Action Taken: No Action Taken. Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* File C:\WINDOWS\System32\server.exe infected by "TrojanDownloader.Win32.Small.xl" Virus. Action Taken: No Action Taken File C:\DOKUME~1\EMRE\LOKALE~1\TEMPOR~1\Content.IE5\YHLEBITW\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken. mfg Bozoman |
|
|
||
05.12.2004, 23:04
Ehrenmitglied
Beiträge: 29434 |
#123
#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost ____________________________________________________________ -->Löschen/mit der Killbox: KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz...wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" http://www.bleepingcomputer.com/files/killbox.php C:\WINDOWS\System32\server.exe C:\WINDOWS\System32\sysupd1003.exe C:\WINDOWS\System32\bmk13.exe C:\WINDOWS\SYSTEM\svchost.exe Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Zum Starten des Dienstprogramms Datenträgerbereinigung klicken Sie auf Start, zeigen auf Programme, zeigen auf Zubehör, zeigen auf Systemprogramme und klicken anschließend auf Datenträgerbereinigung. loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 21:24 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 23:18
Ehrenmitglied
Beiträge: 29434 |
#124
Wenn es dann immer noch nicht weg sein sollte: deinstalliere deinen FreeVirenscanner fuer 15 Tage und lade den eScan Trial (scanne unbedingt im abgesicherten Modus)
#eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml klicke auf: awn2k3e.exe mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.12.2004, 00:16
Member
Beiträge: 20 |
#125
#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost ____________________________________________________________ -->Löschen/mit der Killbox: KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz...wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" http://www.bleepingcomputer.com/files/killbox.php C:\WINDOWS\System32\server.exe C:\WINDOWS\System32\sysupd1003.exe C:\WINDOWS\System32\sysupd1003.exe C:\WINDOWS\System32\bmk13.exe C:\WINDOWS\SYSTEM\svchost.exe --------- als ich C:\WINDOWS\SYSTEM\svchost.exe gelöscht hab kam eine fehlermeldung oder warnung das stand das der computer nach 30 sek automatisch ausgeschaltet wird des wegen konnte ich nicht weiter was soll ich den jetzt machen ach ja noch was wie mach abgesicherte modus (weil ich habe es noch nie gemacht) ich schreib dann morgen nochmal mfg Bozoman |
|
|
||
06.12.2004, 00:23
Ehrenmitglied
Beiträge: 29434 |
#126
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml (mache dich mit dem Gedanken einer Neuinstallation von Windows vertraut) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.12.2004, 09:17
Member
Beiträge: 20 |
#127
Ich habe aber noch eine Frage
Jetzt ändert sich meine Startseite überhaupt nicht mehr, Ich bekomm auch keine Werbung mehr von irgend welche Seiten was ist denn noch Falsch mfg Bozoman |
|
|
||
06.12.2004, 11:15
Ehrenmitglied
Beiträge: 29434 |
#128
Hallo@Bozoman
Du hast: <TrojanDownloader.Win32.Small.xl" <TrojanClicker.Win32.Small.an" <Trojan.Win32.Favadd.a" <TrojanProxy.Win32.Agent.br" (!) An deiner Stelle wuerde ich die Wiederherstellung deaktivieren, die Datentraegerbereinigung machen , den Antivirenscanner deinstallieren und eScan laden (Trial), in den abgesicherten Modus gehen und scannen. Dann mit eScan (mwav.exe) ueberpruefen, ob alles sauber ist. ____________________________________________________________________ #eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.12.2004 um 11:19 Uhr von Sabina editiert.
|
|
|
||
06.12.2004, 17:07
Member
Beiträge: 20 |
#129
Hallo Sabina
Systemwiederherstellung deaktivieren habe ich schon gemacht den datenträger bereinigen macht man doch mit ausführen cleanmgr wenn ja dann habe ich das auch gemacht antivierenscanner? meinst du antivirus? escan (trial) habe ich auch schon installiert abgesicherte modus habe ich auch gelesen wie das geht (dank dir). Dann mach ich das ganze noch mal und informiere dich ok mfg Bozoman |
|
|
||
18.12.2004, 20:13
...neu hier
Beiträge: 1 |
#130
Hallo habe ebenfalls Probleme mit selbstinstallierenden Programmen und PopUps. Habe auch die Schritte nach besten Geweissen befolgt, konnte aber immernoch keine Besserung herstellen.
Hier meine hijack this logfile: Logfile of HijackThis v1.99.0 Scan saved at 20:11:46, on 18.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Program Files\Windows ControlAd\WinCtlAd.exe C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\SIM\sim.exe C:\PROGRA~1\VBOUNCER\VIRTUA~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Temp\hijackthis199\HijackThis.exe R3 - Default URLSearchHook is missing O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe -------------------------- Ich hoffe jemand kann mir helfen! Ich danke euch sehr! Uwe Dieser Beitrag wurde am 18.12.2004 um 20:14 Uhr von uworissimo editiert.
|
|
|
||
18.12.2004, 21:22
Ehrenmitglied
Beiträge: 29434 |
#131
Hallo@uworissimo
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Entpacke die Tools in einem Ordner, den du dann im abgesicherten Modus leicht wiederfindest. Lade und update , wie erklaert wird --<noch nicht scannen #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Killbox http://www.bleepingcomputer.com/files/killbox.php Deaktiviere den Symantec und lade: #eScan-Trial --> noch nicht scannen http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - Default URLSearchHook is missing O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) PC neustarten <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Loesche: <C:\Programme\SIM\ <C:\PROGRA~1\VBOUNCER\ <C:\Program Files\Windows ControlAd dann klicke mwav.exe (escan)-->klicke auf: mwav.exe und scanne alles durch. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen du wirst mehrere exe und dll als infiziert sehen. die loescht sie mit der Killbox.(einfach den kompletten Pfad einkopieren) Aber vorher ueberpruefe das Datum und die Zeit, wann die Malware geladen wurde (innerhalb einer Stunde etwa)ca 3-6 Dateien im selben Zeitraum (1 Std.), suche dann mit der Suchfunktion von Windows (dll eingeben) diejenigen, die zu der Malware (dem Zeitpunkt nach) gehoeren und loesche sie manuell. du muesstest finden und loeschen: <C:\!Submit\VT00.exe <C:\Windows\VT00.exe <C:\WINDOWS\Guard.tmp <C:Windows\System32\SpOrder.dll <C:Windows\System32\akcore.dll und dann noch andere, die jedesmal verschieden sein koennen (also auf das Datum achten) eventuell: <C:\WINDOWS\system32\akrules.dll <C:\WINDOWS\system32\winupdak.dll <C:\WINDOWS\system32\winrulesak.dll usw. usw..... loeschen mit der Killboxdie vom eScan gefundenen Dateien) geh auf Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"-->neustarten und wieder in den abgesicherten Modus gehen Datenträgerbereinigung:(im abgesicherten Modus) und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k dann scanne (ebenfalls im abgesicherten Modus mit dem eScan (trial)-->klicke auf: awn2k3e.exe gehe wieder in den Normalmodus: #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Dann poste das neue HijackThis (und berichte) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 21:36 Uhr von Sabina editiert.
|
|
|
||
18.12.2004, 21:26
Ehrenmitglied
Beiträge: 29434 |
#132
Hallo@Bozoman
1.scanne mit eScan (mwav.exe) und poste, was noch als infiziert angezeigt wird) 2.Poste das neue Log vom HijackThis....zur Ueberpruefung __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 21:28 Uhr von Sabina editiert.
|
|
|
||
19.12.2004, 11:37
Member
Beiträge: 13 |
#133
hi, kann mir jemand bitte helfen ich habe folgendes problem :
meine startseite wird immer verändert obwohl ich die immer wireider umänder und wenn mal eine seite nicht angezeigt werden kann werde ich automatisch auf irgendeine dumme seite umgeleitet. auch wenn es nur ein banner ist der net angezeigt werden kann!!! bittteeeeee hellllllllft mir!!!!!!!! hier mein hijack bericht: Logfile of HijackThis v1.99.0 Scan saved at 11:35:21, on 19.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\Explorer.EXE C:\temp\msbb.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Common files\updater\wupdater.exe C:\WINDOWS\system32\vmmymutl.exe C:\Program Files\Windows ControlAd\WinCtlAd.exe C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\CA\eTrust Antivirus\Realmon.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Steam\Steam.exe C:\Programme\LeechGet 2004\LeechGet.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis199[1]\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll O2 - BHO: (no name) - SOFTWARE - (no file) O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - C:\Programme\ClearSearch\CSIE.DLL O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing) O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing) O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem300.dll O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\Programme\Bargain Buddy\bin2\apuc.dll (file missing) O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe O4 - HKLM\..\Run: [efsomxnu] C:\WINDOWS\system32\vmmymutl.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Echzeitüberwachung.lnk = C:\Programme\CA\eTrust Antivirus\Realmon.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: PowerCinema Service.lnk = C:\Programme\Home Cinema\PowerCinema\PCMService.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.addictivetechnologies.net/DM0/cab/trad3rp.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c388.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/mp3.ocx O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {95E5A0FC-6CFB-4EB6-B649-7A9AA877A7A9} (Pcksloader Control) - http://www.pckindersicherung.de/pcks/pcks.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC96CE7-F972-4DF6-BF51-D31EA5E0C76B}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 195.50.140.250 145.253.2.203 O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: ISEXEng - Unknown - C:\WINDOWS\system32\angelex.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe |
|
|
||
19.12.2004, 12:03
Ehrenmitglied
Beiträge: 29434 |
#134
Hallo@NoYz
Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> http://computercops.biz/postp237756.html gehe in den abgesicherten Modus (du must als Administrator angemeldet sein) http://www.tu-berlin.de/www/software/virus/savemode.shtml öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.12.2004 um 12:04 Uhr von Sabina editiert.
|
|
|
||
19.12.2004, 15:25
Member
Beiträge: 13 |
||
|
||
aber unter bei vris log information stand gar nicht dann habe ich doch kein virus mehr oder