Extrem hartnäckiger HijackerThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
08.08.2004, 13:22
...neu hier
Beiträge: 4 |
||
|
||
08.08.2004, 17:45
Member
Beiträge: 1122 |
||
|
||
08.08.2004, 18:26
...neu hier
Themenstarter Beiträge: 4 |
#3
Logfile of HijackThis v1.98.2
Scan saved at 13:26:45, on 08.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\WINDOWS\system32\appjs.exe C:\WINDOWS\system32\srvany.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\resetservice.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINDOWS\system32\addkv32.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\McAfee\McAfee VirusScan\alogserv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\winnw32.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Dokumente und Einstellungen\Gerd\Eigene Dateien\HiJacker\hijackthisneu\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ymgsz.dll/index.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {F3AE5B8F-570D-9630-AF9D-BB9359426ED8} - C:\WINDOWS\mfcct.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [winnw32.exe] C:\WINDOWS\system32\winnw32.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29e0e4abe3441cca5319/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{81D0343D-63A2-43E1-AD2C-8F837DA8A146}: NameServer = 205.188.146.146 |
|
|
||
08.08.2004, 18:38
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @Stümper
Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ymgsz.dll/index.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ymgsz.dll/index.html#37794 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ymgsz.dll/sp.html#37794 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {F3AE5B8F-570D-9630-AF9D-BB9359426ED8} - C:\WINDOWS\mfcct.dll O4 - HKLM\..\Run: [winnw32.exe] C:\WINDOWS\system32\winnw32.exe das kannst du auch <fixen< denn es hat nichts im Autostart zu suchentraegt sich bei Verwendung wieder ein) O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot neustarten 1) Deaktiviere kurz deinen Virenscanner 2) Lade Antivirus http://www.free-av.de/ nach dem Instalationsscann stellst du ein: <Alle Dateien <scannen <Heuristic: hoch 3) #Lade dieses Tool http://www.diamondcs.com.au/index.php?page=apm <Klicke die Prozesse an, bis du C:\WINDOWS\mfcct.dll findsest. <druecke auf <unload< 4) #loesche C:\WINDOWS\system32\winnw32.exe .............................................................................. 5) Gehe in den abgesicherten Modus: http://www.bsi.de/av/texte/winsave.htm und mache einen Komplettscann mit dem Antivirus ................................................................................. 6) #normal neustarten 7) #lade Sphjfix http://www.rokop-security.de/main/article.php?sid=746 8)#scanne mit Adaware 9) #Lade ClearProg loesche mit dem Tool die -Cookies - Verlauf - Temporäre Internetfiles (Cache) http://www.clearprog.de/ 10 ) <Stelle unter <Internetoptionen< eine neue Startseite ein und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 18:52 Uhr von Sabina editiert.
|
|
|
||
09.08.2004, 14:18
...neu hier
Themenstarter Beiträge: 4 |
#5
Juhu!!! :-)
vielen vielen Dank Sabina! ich glaub das prob ist gelöst. Startseite bleibt so wie sie sein soll :-) Was mich aber echt schockiert ist, das Anti Vir die Trojaner gefunden hat (und zwar viele) und mcafee diese nicht ?! *shock Es wurden auf jeden Fall ne Menge Trojaner gefunden, entfernt und den Prozess habe ich auch gelöscht. Jetzt habe ich aber noch 2 Frage: 1. Ist mein System jetzt noch sicher? d.h. kann ich weiterhin online banking etc. betreiben ohne Angst haben zu müssen, dass meine Passwörter um die Welt gehen? 2. Da ich McAfee eigentlich sehr gut finde, ist es möglich McAfee und Anti Vir auf meinem Rechner parallel laufen zu lassen? Bis jetzt hat er nämlich noch nicht gemeckert. Oder blockieren die sich irgendwie gegenseitig? Unten ist aber trotzdem nochmal ein log von HiJackThis Also vielen Dank nochmal!!! Gruss Stümper Logfile of HijackThis v1.98.2 Scan saved at 14:05:48, on 09.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\srvany.exe C:\WINDOWS\system32\resetservice.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\McAfee\McAfee VirusScan\alogserv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Gerd\Eigene Dateien\HiJacker\hijackthisneu\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29e0e4abe3441cca5319/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{81D0343D-63A2-43E1-AD2C-8F837DA8A146}: NameServer = 205.188.146.146 |
|
|
||
09.08.2004, 14:40
Ehrenmitglied
Beiträge: 29434 |
#6
@Stümper, Glueckwunsch !
#Deaktiviere die Wiederherstellung (kannst du nach dem Booten wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe noch (ist nicht <bad< sollte aber nicht im Autostart sein)...traegt sich bei Benutzung wieder ein O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot neustarten Am Besten, du deaktivierst einen von den zwei Virenscannern (darf dann nicht unter 04 erscheinen), weil sonst vielleicht die Systemauslastung zu hoch wird. Ich weiss nicht, welche Trojaner gefunden wurden. Wenn es Keylogger waren...aendere alle Passworte oder setze den Computer neu auf.(was ich im HijackThis gesehen habe, waren nur Startseiten-trojaner) Wenn du keinen Router hast, kannst du auch eine Firewall laden. http://smb.sygate.com/products/spf_standard.htm So kannst du ganz gut kontrollieren, was hinein-und hinaus will. Surfe nur mit dem Firefox..ist viel sicherer, was die Startseiten-Trojaner betrifft und wechsele nur zum IE, wenn Seiten nicht erreichbar sind . http://www.firebird-browser.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.08.2004 um 14:47 Uhr von Sabina editiert.
|
|
|
||
09.08.2004, 15:01
...neu hier
Themenstarter Beiträge: 4 |
#7
hmm... Rechner neu installieren will ich eigentlich nicht.
Und Passwörter habe ich keine mehr eingegeben, seit ich mir den HiJacker eingefangen hatte. Auf dem Rechner sind auch keine gespeichert. Dann müsste es eigentlich ungefährlich sein, oder? Was mich auch noch wundert ist, dass Anti Vir mir diverse Trojaner mit Namen TR/ Spy.Tofger.BI.5 oder .3 angezeigt und entfernt. Ich kann diesen Trojaner aber in keiner Virenbibliothek finden. ??!! Gruss Stümper |
|
|
||
09.08.2004, 15:08
Ehrenmitglied
Beiträge: 29434 |
#8
ZITAT :Und Passwörter habe ich keine mehr eingegeben, seit ich mir den HiJacker eingefangen hatte. Auf dem Rechner sind auch keine gespeichert..................................................
Dann duerfte eigentlich kein Problem bestehen..... mfg Sabina http://www.google.de/search?hl=de&ie=UTF-8&q=Tofger&btnG=Suche&meta= Vielleicht verwendet Antivirus eine spezifische Bezeichnung fuer den SpyTrojaner. Frag mal nach (Kontakt), welche Risiken bestehen. http://www.free-av.de/ __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.08.2004 um 15:59 Uhr von Sabina editiert.
|
|
|
||
04.01.2006, 20:06
...neu hier
Beiträge: 3 |
#9
Hallo!!!
Bin ganz frisch und neu hier und habe ein verdächtig ähnliches Problem wie der Herr Stümper, der mit mir wohl recht gut mitfühlen könnte... Ich habe nun dasselbe befolgt, das Sabina dem Herrn angeraten hat und POSTE hier mein Hijacker-Log mit der Bitte um Hilfe, was ich fixen möge (oder zusätzlich gegen mein Problem unternehmen könnte). Besten Dank im Voraus, ich bin wissbegierig und lernbegierig und hoffe ehrlich gesagt, den IE irgendwann hinter mir zu lassen, wenn ich mal so weit bin, ein wenig Durchblick im Windows-Dschungel zu finden. Dank! dank! dank! Alvin (Ich hoff das ist jetzt okay, wenn ich das jetzt hier schon poste, ohne dazu eingeladen zu werden...) Logfile of HijackThis v1.99.1 Scan saved at 19:55:05, on 04.01.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\avast4home.antiviren\aswUpdSv.exe C:\Programme\avast4home.antiviren\ashServ.exe C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe C:\WINNT\System32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Sony\MD Simple Burner\NetMDSB.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\system32\Promon.exe C:\WINNT\system32\ltmsg.exe C:\DOKUME~1\alvin1\LOKALE~1\Temp\5.tmp.exe C:\DOKUME~1\alvin1\LOKALE~1\Temp\6.tmp.exe C:\PROGRA~1\AVAST4~1.ANT\ashDisp.exe C:\WINNT\system32\javauf.exe C:\WINNT\system32\internat.exe C:\WINNT\System32\NMSSvc.exe C:\WINNT\iers32.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Compaq Wireless LAN\Client Manager\CMcom.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\WINNT\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\alvin1\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\dxdyf.dll/sp.html#88449%resultposition.net R3 - Default URLSearchHook is missing O2 - BHO: Class - {1461BFC9-B5C4-A979-FE21-A3CF29125657} - C:\WINNT\system32\addru32.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: Class - {5DBEFECB-E898-49F0-7A1C-15DCA00B84B0} - C:\WINNT\crrx32.dll O2 - BHO: Class - {72085DA9-16A5-2559-FF6E-7850AC2CD288} - C:\WINNT\system32\d3ni.dll O2 - BHO: Class - {E4FE0785-A97A-C369-AC45-92873430A704} - C:\WINNT\system32\addwq.dll O2 - BHO: Class - {E71F4823-7E71-FB9D-3523-E8D226497AF9} - C:\WINNT\system32\d3si.dll O2 - BHO: Class - {F3C66961-EF25-2CFF-34F3-5BC3F7BC169C} - C:\WINNT\system32\atlvb32.dll O2 - BHO: Class - {F4CD1DBE-653B-4C8C-F824-8394D4763F1A} - C:\WINNT\system32\netta.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Promon.exe] Promon.exe O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9 O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [5.tmp] C:\DOKUME~1\alvin1\LOKALE~1\Temp\5.tmp.exe O4 - HKLM\..\Run: [6.tmp] C:\DOKUME~1\alvin1\LOKALE~1\Temp\6.tmp.exe O4 - HKLM\..\Run: [5.tmp.exe] C:\DOKUME~1\alvin1\LOKALE~1\Temp\5.tmp.exe O4 - HKLM\..\Run: [6.tmp.exe] C:\DOKUME~1\alvin1\LOKALE~1\Temp\6.tmp.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVAST4~1.ANT\ashDisp.exe O4 - HKLM\..\Run: [javauf.exe] C:\WINNT\system32\javauf.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [BullGuard] "C:\Programme\BullGuard Software\BullGuard\bullguard.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Compaq Client Manager.lnk = C:\Programme\Compaq Wireless LAN\Client Manager\CMcom.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D351D130-77DD-4DA6-A6A0-F9B88FB8859D}: NameServer = 195.34.133.15,195.34.133.16 O17 - HKLM\System\CCS\Services\Tcpip\..\{FB18F38A-9BF2-4EC3-B20D-1498E98A40AD}: NameServer = 195.34.133.10,195.34.133.11 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\iers32.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\avast4home.antiviren\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\avast4home.antiviren\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\avast4home.antiviren\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\avast4home.antiviren\ashWebSv.exe" /service (file missing) O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe __________ Freundlicher Beginner aus Wien, Alvin |
|
|
||
04.01.2006, 22:30
Ehrenmitglied
Beiträge: 29434 |
#10
HMifyoucan
stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien (vom Datum her bitte bis Oktober) http://virus-protect.org/datfindbat.html ----------------------------------------------------------- Info: http://virus-protect.org/artikel/spyware/trojanagent2.html http://virus-protect.org/artikel/spyware/trojanagenteo.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.01.2006, 19:06
...neu hier
Beiträge: 3 |
#11
Hoffentlich habe ich das richtig verstanden mit den vier Textdateien, habe lange genug drüber nachgedacht, was da gemeint sein mag, bis ich langsam erkannte, daß da VIER Textdateien auftauchen...
Bitte sehr: Verzeichnis von C:\WINNT\system32 04.01.2006 16:47 12.524 addal32.exe 04.01.2006 16:31 16.384 Perflib_Perfdata_25c.dat 04.01.2006 08:22 35.447 mfcpl.exe 04.01.2006 07:53 13.581 xsrzh.txt 04.01.2006 07:52 13.581 dfzhz.log 04.01.2006 00:05 16.384 Perflib_Perfdata_270.dat 03.01.2006 23:39 2.999 CONFIG.NT 03.01.2006 20:43 134.732 d3si.dll 01.01.2006 17:30 0 wnedv.dll 01.01.2006 16:30 35.447 sdktf.exe 01.01.2006 14:50 0 hyemh.dll 01.01.2006 14:50 0 dzwzx.dll 30.12.2005 18:21 0 logs2.ini 30.12.2005 12:46 35.447 ntnd.exe 30.12.2005 03:01 35.447 winzy32.exe 29.12.2005 10:31 35.447 sdkpm32.exe 29.12.2005 09:38 134.391 d3ni.dll 29.12.2005 05:43 35.447 ipie.exe 28.12.2005 12:47 0 knrsy.dll 28.12.2005 09:40 35.447 mfcqh32.exe 27.12.2005 10:49 35.447 winhw.exe 27.12.2005 04:55 35.447 netes32.exe 27.12.2005 03:43 35.447 ntrt.exe 26.12.2005 09:13 22.742 stub91.ini 26.12.2005 08:52 25.728 stub90.ini 26.12.2005 08:48 25.441 stub89.ini 26.12.2005 08:45 25.543 stub88.ini 26.12.2005 08:44 25.695 stub87.ini 26.12.2005 08:44 25.438 stub86.ini 26.12.2005 08:23 25.197 stub85.ini 26.12.2005 08:22 25.684 stub84.ini 26.12.2005 08:16 26.118 stub83.ini 26.12.2005 08:16 25.882 stub82.ini 26.12.2005 08:07 26.444 stub81.ini 26.12.2005 08:04 25.840 stub80.ini 26.12.2005 08:02 25.314 stub79.ini 26.12.2005 07:54 25.812 stub78.ini 26.12.2005 07:53 25.329 stub77.ini 26.12.2005 07:42 26.785 stub76.ini 26.12.2005 07:41 26.386 stub75.ini 26.12.2005 07:40 26.446 stub74.ini 26.12.2005 07:40 26.417 stub73.ini 26.12.2005 07:31 26.300 stub72.ini 26.12.2005 07:21 26.413 stub71.ini 26.12.2005 07:13 25.626 stub70.ini 26.12.2005 07:13 25.949 stub69.ini 26.12.2005 06:55 25.914 stub68.ini 26.12.2005 06:54 26.241 stub67.ini 26.12.2005 06:32 26.472 stub66.ini 26.12.2005 06:31 26.174 stub65.ini 26.12.2005 06:31 24.912 stub64.ini 26.12.2005 06:28 25.074 stub63.ini 26.12.2005 06:28 25.293 stub62.ini 26.12.2005 06:11 25.066 stub61.ini 26.12.2005 06:10 25.594 stub60.ini 26.12.2005 06:10 25.271 stub59.ini 26.12.2005 06:10 26.307 stub58.ini 26.12.2005 06:09 25.008 stub57.ini 26.12.2005 06:09 25.158 stub56.ini 26.12.2005 06:09 25.293 stub55.ini 26.12.2005 06:08 25.311 stub54.ini 26.12.2005 06:08 25.635 stub53.ini 26.12.2005 06:07 25.546 stub52.ini 25.12.2005 19:33 25.592 stub51.ini 25.12.2005 19:33 24.667 stub50.ini 25.12.2005 19:22 24.795 stub49.ini 25.12.2005 19:22 24.864 stub48.ini 25.12.2005 19:16 35.447 javauf.exe 25.12.2005 19:05 24.921 stub47.ini 25.12.2005 19:03 25.352 stub46.ini 25.12.2005 18:52 24.766 stub45.ini 25.12.2005 18:48 24.710 stub44.ini 25.12.2005 18:48 25.043 stub43.ini 25.12.2005 18:45 24.914 stub42.ini 25.12.2005 18:45 25.035 stub41.ini 25.12.2005 18:32 11.895 d3pp32.exe 25.12.2005 17:55 24.703 stub40.ini 25.12.2005 17:55 24.420 stub39.ini 25.12.2005 16:47 24.711 stub38.ini 25.12.2005 16:46 24.442 stub37.ini 25.12.2005 16:45 24.735 stub36.ini 25.12.2005 16:45 24.305 stub35.ini 25.12.2005 16:45 24.912 stub34.ini 25.12.2005 16:45 24.391 stub33.ini 25.12.2005 16:45 24.500 stub32.ini 25.12.2005 16:44 24.410 stub31.ini 25.12.2005 16:44 24.809 stub30.ini 25.12.2005 16:43 24.364 stub29.ini 25.12.2005 16:43 24.101 stub28.ini 25.12.2005 16:43 24.565 stub27.ini 25.12.2005 16:42 23.818 stub26.ini 25.12.2005 16:42 23.904 stub25.ini 25.12.2005 16:42 23.580 stub24.ini 25.12.2005 16:42 24.085 stub23.ini 25.12.2005 16:41 23.060 stub22.ini 25.12.2005 16:41 23.219 stub21.ini 25.12.2005 16:41 23.685 stub20.ini 25.12.2005 16:37 22.835 stub19.ini 25.12.2005 16:36 22.118 stub18.ini 25.12.2005 16:34 23.395 stub17.ini 25.12.2005 16:34 23.622 stub16.ini 25.12.2005 16:34 23.264 stub15.ini 25.12.2005 16:33 23.847 stub14.ini 25.12.2005 16:31 23.745 stub13.ini 25.12.2005 10:15 23.501 stub11.ini 25.12.2005 09:28 23.416 stub10.ini 25.12.2005 09:26 23.496 stub9.ini 25.12.2005 09:21 23.567 stub12.ini 25.12.2005 09:15 23.318 stub8.ini 25.12.2005 09:14 23.344 stub7.ini 25.12.2005 09:08 23.619 stub6.ini 25.12.2005 09:08 23.500 stub5.ini 25.12.2005 09:00 23.246 stub4.ini 25.12.2005 08:41 23.166 stub3.ini 25.12.2005 07:26 22.711 stub2.ini 25.12.2005 07:14 22.854 stub1.ini 25.12.2005 03:47 35.447 ntsp.exe 24.12.2005 06:29 35.447 mswj32.exe 24.12.2005 03:18 1.199 logs1.ini 23.12.2005 20:10 77.312 P2P Networking v126.cpl 22.12.2005 11:28 35.447 sysol32.exe 21.12.2005 01:37 134.391 addru32.dll 20.12.2005 20:19 134.391 atlvb32.dll 20.12.2005 13:21 481.280 aswBoot.exe 20.12.2005 13:15 90.112 AVASTSS.scr 19.12.2005 20:34 35.447 sdkpa32.exe 19.12.2005 10:43 35.447 ieag.exe 19.12.2005 03:32 35.447 syscd.exe 18.12.2005 02:14 35.447 javalm.exe 17.12.2005 10:03 197.761 jbnzp.txt 17.12.2005 09:12 35.447 apimg32.exe 17.12.2005 01:57 35.447 iedy32.exe 16.12.2005 15:23 35.447 crja32.exe 16.12.2005 13:59 68.608 doucq.dll 13.12.2005 06:51 35.447 crdw.exe 11.12.2005 00:15 35.447 atlsx.exe 10.12.2005 15:53 35.447 apilw32.exe 09.12.2005 07:25 35.447 mfcyh.exe 09.12.2005 00:51 35.447 msyl32.exe 08.12.2005 16:25 2.723.680 MRT.exe 08.12.2005 16:13 35.447 appaj.exe 08.12.2005 14:57 35.447 ieod32.exe 08.12.2005 10:05 35.447 d3md32.exe 08.12.2005 06:47 197.761 elafm.log 07.12.2005 17:34 35.447 iegv32.exe 07.12.2005 15:12 35.447 atlwn32.exe 07.12.2005 07:27 35.447 cryt.exe 04.12.2005 21:57 197.761 xlqkb.log 02.12.2005 11:40 134.391 addwq.dll 27.11.2005 14:40 133.791 netta.dll 11.11.2005 10:40 53.248 client_cc.dll 11.11.2005 10:35 53.248 lccl.dll Verzeichnis von C:\DOKUME~1\alvin1\LOKALE~1\Temp 04.01.2006 16:50 49.152 ~DF7D16.tmp 04.01.2006 16:47 7.745 4.tmp 25.12.2005 16:10 11.895 6.tmp.exe 25.12.2005 16:10 20.087 5.tmp.exe Verzeichnis von C:\WINNT 05.01.2006 04:22 35.447 apish.exe 04.01.2006 07:54 68.608 dxdyf.dll 04.01.2006 07:01 0 javakp32.exe 04.01.2006 00:07 8.496.225 setupapi.log 04.01.2006 00:05 1.128 ODBC.INI 03.01.2006 21:08 35.447 appuv32.exe 03.01.2006 15:18 35.447 addcj32.exe 03.01.2006 14:51 35.447 winjy32.exe 03.01.2006 14:08 22.742 stub91.ini 03.01.2006 14:05 25.728 stub90.ini 03.01.2006 12:51 25.441 stub89.ini 03.01.2006 12:42 25.543 stub88.ini 03.01.2006 12:36 25.695 stub87.ini 03.01.2006 12:27 25.438 stub86.ini 03.01.2006 12:02 25.197 stub85.ini 03.01.2006 11:57 25.684 stub84.ini 03.01.2006 11:52 26.118 stub83.ini 03.01.2006 11:47 25.882 stub82.ini 03.01.2006 11:31 26.444 stub81.ini 03.01.2006 05:25 25.840 stub80.ini 03.01.2006 05:16 25.314 stub79.ini 03.01.2006 04:57 25.812 stub78.ini 03.01.2006 04:10 25.329 stub77.ini 03.01.2006 04:08 26.785 stub76.ini 03.01.2006 04:08 26.386 stub75.ini 02.01.2006 19:50 26.446 stub74.ini 02.01.2006 19:49 26.417 stub73.ini 02.01.2006 19:21 26.300 stub72.ini 02.01.2006 19:12 26.413 stub71.ini 02.01.2006 19:12 25.626 stub70.ini 02.01.2006 19:12 25.949 stub69.ini 02.01.2006 18:58 25.914 stub68.ini 02.01.2006 18:53 26.241 stub67.ini 02.01.2006 18:52 26.472 stub66.ini 02.01.2006 18:45 35.447 ntrv.exe 02.01.2006 18:10 26.174 stub65.ini 02.01.2006 18:08 24.912 stub64.ini 02.01.2006 15:50 25.074 stub63.ini 02.01.2006 15:35 25.293 stub62.ini 02.01.2006 14:59 25.066 stub61.ini 02.01.2006 14:53 25.594 stub60.ini 02.01.2006 14:53 25.271 stub59.ini 02.01.2006 14:53 26.307 stub58.ini 02.01.2006 14:52 25.008 stub57.ini 02.01.2006 14:51 25.158 stub56.ini 02.01.2006 14:51 25.293 stub55.ini 02.01.2006 14:49 25.311 stub54.ini 02.01.2006 14:44 25.635 stub53.ini 02.01.2006 14:29 25.546 stub52.ini 02.01.2006 14:01 25.592 stub51.ini 02.01.2006 13:49 24.667 stub50.ini 02.01.2006 08:54 24.795 stub49.ini 02.01.2006 08:51 24.864 stub48.ini 02.01.2006 08:19 24.921 stub47.ini 02.01.2006 08:17 25.352 stub46.ini 02.01.2006 08:07 24.766 stub45.ini 02.01.2006 08:03 24.710 stub44.ini 02.01.2006 08:02 25.043 stub43.ini 02.01.2006 07:57 24.914 stub42.ini 02.01.2006 07:52 25.035 stub41.ini 02.01.2006 07:47 24.703 stub40.ini 02.01.2006 07:47 24.420 stub39.ini 02.01.2006 07:46 24.711 stub38.ini 02.01.2006 07:43 24.442 stub37.ini 02.01.2006 07:43 24.735 stub36.ini 02.01.2006 07:42 24.305 stub35.ini 02.01.2006 07:41 24.500 stub32.ini 02.01.2006 07:07 24.912 stub34.ini 02.01.2006 07:06 24.391 stub33.ini 02.01.2006 06:17 24.410 stub31.ini 01.01.2006 20:26 35.447 appma32.exe 01.01.2006 20:22 24.809 stub30.ini 01.01.2006 18:19 24.364 stub29.ini 01.01.2006 18:08 24.101 stub28.ini 01.01.2006 18:08 24.565 stub27.ini 01.01.2006 18:07 23.818 stub26.ini 01.01.2006 18:07 23.904 stub25.ini 01.01.2006 17:30 0 ogkxf.dll 01.01.2006 17:30 0 vcrbl.dll 01.01.2006 17:30 0 thbln.dll 01.01.2006 15:36 0 clhiq.dll 01.01.2006 15:05 10 smdat32m.sys 01.01.2006 14:50 0 gpvis.dll 01.01.2006 14:50 0 lsitw.dll 01.01.2006 11:53 24.085 stub23.ini 01.01.2006 11:47 23.060 stub22.ini 01.01.2006 11:47 23.219 stub21.ini 01.01.2006 11:21 22.854 stub1.ini 01.01.2006 11:03 23.685 stub20.ini 01.01.2006 10:50 22.835 stub19.ini 01.01.2006 10:34 22.118 stub18.ini 01.01.2006 08:47 23.395 stub17.ini 01.01.2006 07:26 23.622 stub16.ini 01.01.2006 07:26 23.264 stub15.ini 01.01.2006 07:25 23.847 stub14.ini 01.01.2006 06:54 23.745 stub13.ini 01.01.2006 06:49 23.567 stub12.ini 01.01.2006 06:49 23.501 stub11.ini 01.01.2006 06:49 23.416 stub10.ini 01.01.2006 06:44 23.496 stub9.ini 01.01.2006 06:37 23.619 stub6.ini 01.01.2006 06:36 23.500 stub5.ini 01.01.2006 06:33 23.246 stub4.ini 01.01.2006 05:53 22.711 stub2.ini 30.12.2005 19:42 23.318 stub8.ini 30.12.2005 18:21 0 logs2.ini 30.12.2005 03:49 23.344 stub7.ini 30.12.2005 03:01 1.199 logs1.ini 29.12.2005 15:29 35.447 appiz.exe 29.12.2005 06:26 35.447 apinw.exe 28.12.2005 12:54 35.447 crwu32.exe 28.12.2005 12:46 0 ecges.dll 27.12.2005 12:35 35.447 javaqn.exe 27.12.2005 09:17 35.447 sdkja.exe 26.12.2005 21:10 134.391 crrx32.dll 26.12.2005 13:08 985.577 WindowsUpdate.log 26.12.2005 13:08 2.087 vminst.log 25.12.2005 05:33 1.546 wldetect-1102112866.log 25.12.2005 05:33 6.429 KB889293-IE6SP1-20041111.235619.log 25.12.2005 04:32 0 ntfd32.dll 25.12.2005 00:56 197.761 amwwp.log 24.12.2005 12:57 37 vbaddin.ini 24.12.2005 12:57 109.542 UNNeroVision.cfg 24.12.2005 11:27 35.447 d3fu.exe 23.12.2005 20:20 73 WININIT.INI 23.12.2005 11:26 35.447 iemb.exe 23.12.2005 03:02 197.761 dxjnw.log 23.12.2005 02:36 260 system.ini 23.12.2005 02:36 1.285.000 ShellIconCache 23.12.2005 02:36 6.023 Q828026.log 22.12.2005 22:19 23.580 stub24.ini 22.12.2005 13:22 13.884 KB841872.log 22.12.2005 13:01 162 NeroDigital.ini 22.12.2005 13:01 1.405 msdfmap.ini 22.12.2005 07:13 35.447 apppw32.exe 21.12.2005 13:24 707 _default.pif 21.12.2005 13:24 106.860 setupact.log 21.12.2005 13:24 32.586 SchedLgU.Txt 21.12.2005 13:24 40.167 KB824105.log 21.12.2005 13:24 13.581 imflt.log 21.12.2005 13:24 17.062 Kaffeetasse.bmp 21.12.2005 13:24 169.563 DirectX.log 21.12.2005 13:24 32.501 wmsetup.log 21.12.2005 13:24 50.682 UNNMP.cfg 21.12.2005 13:24 63.238 Windows Update.log 21.12.2005 13:24 48.538 winnt256.bmp 21.12.2005 13:24 65.978 Seifenblase.bmp 21.12.2005 13:24 17.362 Rhododendron.bmp 21.12.2005 07:42 35.447 msxz32.exe 20.12.2005 22:48 35.447 atlaa.exe 20.12.2005 07:56 35.447 apiab32.exe 20.12.2005 05:27 35.447 iezj32.exe 20.12.2005 00:38 23.166 stub3.ini 19.12.2005 08:10 35.447 ipdf.exe 18.12.2005 22:17 35.447 d3dk32.exe 18.12.2005 17:24 35.447 netrf32.exe 18.12.2005 16:54 35.447 javasw.exe 18.12.2005 00:53 35.447 sdklp.exe 17.12.2005 18:50 68.608 mmrsh.dll 17.12.2005 08:09 3.567 xemhc.dat 17.12.2005 07:37 35.447 atlpu.exe 17.12.2005 07:08 3.567 oisds.dat 17.12.2005 06:22 197.761 qslkc.txt 16.12.2005 14:21 3.567 rsxqp.txt 16.12.2005 12:57 35.447 d3cq.exe 16.12.2005 08:48 35.447 mfcbd.exe 15.12.2005 13:21 35.447 appkw32.exe 13.12.2005 22:44 35.447 winmc32.exe 13.12.2005 19:15 35.447 d3ir32.exe 12.12.2005 16:04 35.447 appho.exe 12.12.2005 11:55 35.447 atlkf.exe 10.12.2005 18:15 35.447 netia.exe 09.12.2005 22:00 35.447 atlug.exe 09.12.2005 01:49 35.447 ntuw.exe 08.12.2005 21:10 35.447 sysej.exe 08.12.2005 20:13 35.447 mfcxb.exe 07.12.2005 18:55 35.447 sysgk.exe 07.12.2005 18:07 35.447 atlfg32.exe 07.12.2005 06:24 35.447 javasy.exe 07.12.2005 01:53 35.447 crgm.exe 02.12.2005 23:47 11.895 iers32.exe 01.10.2005 00:58 2.612.576 499SAVER.exe 01.10.2005 00:58 642.792 499SAVER.scr 01.10.2005 00:58 29.696 mickey32.dll Verzeichnis von C:\ 05.01.2006 19:04 0 sys.txt 05.01.2006 19:04 14.056 system.txt 05.01.2006 19:03 447 systemtemp.txt 05.01.2006 19:02 97.308 system32.txt 04.01.2006 16:46 805.306.368 pagefile.sys Danke im Voraus noch Mal! Jetzt hänge ich aber gleich noch ein paar Fragen an: Soll ich Firefox installieren? Und IE - wie ich irgendwo als Tip schon gelesen habe - nur im Notfall verwenden? Ich habe - vielleicht geht das ja aus meiner ersten Eintragung hervor - mittlerweile so einiges installiert an Virenprogrammen (Avast, Bullguard), wo ich nicht weiß ob das klug war bzw. wenn ich ich glaube Bullguard aktiviert hab, hab ich ?naturgemäß? Probleme mit Outlook...? Kann ich vielleicht hier im SecurityForum - bereits dahingehende - Antworten nachlesen, ob es sinnvoll ist Outlook überhaupt zu verwenden, welche Vorteile es bringt zu meinem bisher ziemlich zufriedenstellenden yahoo-konto(wobei ich sagen muß, daß ich eben erst seit kurzem Zuhause im Netz bin und von daher vorher ja kein Outlook verwenden konnte, und soll ich jetzt komplett auf Outlook umsteigen, macht das Sinn?)... Ich hoffe, meine Fragen sind noch nicht "peinlich", weil so "?banal?"...; ( Freundlicher Alvin __________ Freundlicher Beginner aus Wien, Alvin Dieser Beitrag wurde am 05.01.2006 um 19:21 Uhr von HMifyoucan editiert.
|
|
|
||
06.01.2006, 00:19
Ehrenmitglied
Beiträge: 29434 |
#12
HMifyoucan
es sind alles Viren....alles, bis zum 11.11.2005 10:35 53.248 lccl.dll und danch kommt bestimmt noch mehr. C:\WINNT\system32\addal32.exe C:\WINNT\system32\mfcpl.exe C:\WINNT\system32\xsrzh.txt C:\WINNT\system32\dfzhz.log C:\WINNT\system32\d3si.dll C:\WINNT\system32\wnedv.dll C:\WINNT\system32\sdktf.exe C:\WINNT\system32\hyemh.dll C:\WINNT\system32\dzwzx.dll C:\WINNT\system32\logs2.ini C:\WINNT\system32\ntnd.exe C:\WINNT\system32\winzy32.exe C:\WINNT\system32\sdkpm32.exe C:\WINNT\system32\d3ni.dll C:\WINNT\system32\ipie.exe C:\WINNT\system32\knrsy.dll C:\WINNT\system32\mfcqh32.exe C:\WINNT\system32\winhw.exe C:\WINNT\system32\netes32.exe C:\WINNT\system32\ntrt.exe usw. usw... Verzeichnis von C:\WINNT 05.01.2006 04:22 35.447 apish.exe 04.01.2006 07:54 68.608 dxdyf.dll 04.01.2006 07:01 0 javakp32.exe 04.01.2006 00:07 8.496.225 setupapi.log 03.01.2006 21:08 35.447 appuv32.exe 03.01.2006 15:18 35.447 addcj32.exe 03.01.2006 14:51 35.447 winjy32.exe 03.01.2006 14:08 22.742 stub91.ini 03.01.2006 14:05 25.728 stub90.ini usw..... das beste ist, du formatierst. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.01.2006, 02:25
Ehrenmitglied
Beiträge: 29434 |
#13
Zitat Können Sie mir mit einem Satz versuchen zu erklären, wie alles weiter rückwirkend voller Viren sein kann, wenn ich erst seit 20.12.2005 im Netz bin, nachdem ein Freund auf dem Laptop vor einem Jahr alles neu installiert hat.der PC besteht nur aus viren, einmal im Log vom HijackThis ersichtlich und zum anderen auch alle rot gekennzeichneten Dateien von der datfindbat. (siehe oben) ein Grund: O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART der andere Grund: der IE...du warst auf einer Seite, wo du nicht haettest sein sollen...und das mit dem IE, anstatt vom Firefox oder Opera. New WMF 0-day exploit http://virus-protect.org/artikel/newsletter/wpfv.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 15:39
...neu hier
Beiträge: 2 |
#14
Hallo Zusammen,
ich habe auch ähnlich Problem. Ich bin hier neu regiestriert, weiß nicht , ob ich auch hier mein Problem einträgen darf. Ich habe sogar Windows neu installiert, benutze nicht mehr mit Explorer, ist viel besser geworden. Aber nach Ad-Aware Scan zeigt es immer noch MRU. Ich weiß es nicht, ob es harmlos ist, oder was bedeutet es, wie kann ich es löschen? ich habe keine Ahnung von PC, bin ich heir gelandet, nach Angabe von Sabina habe ich mit Hijackerthis und Cleanup den PC durchlaufen lassen, (ich bin aber nicht sicher, ob ich nach richtig Rheinfolge gemacht habe.), hier ist die Logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:35:23, on 07.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Dokumente und Einstellungen\guiying\Desktop\HijackThis.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Logfile von Ad-Aware Ad-Aware SE Build 1.06r1 Logfile Created on:Samstag, 7. Januar 2006 16:03:34 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R85 04.01.2006 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):6 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Search for low-risk Thread Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 07.01.2006 16:03:34 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\guiying\recent Description : list of recently opened documents MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-1844237615-1004336348-839522115-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 560 ThreadCreationTime : 07.01.2006 15:00:00 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 620 ThreadCreationTime : 07.01.2006 15:00:03 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 644 ThreadCreationTime : 07.01.2006 15:00:06 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 688 ThreadCreationTime : 07.01.2006 15:00:09 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 700 ThreadCreationTime : 07.01.2006 15:00:09 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 856 ThreadCreationTime : 07.01.2006 15:00:14 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 960 ThreadCreationTime : 07.01.2006 15:00:15 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1072 ThreadCreationTime : 07.01.2006 15:00:16 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1168 ThreadCreationTime : 07.01.2006 15:00:16 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1296 ThreadCreationTime : 07.01.2006 15:00:17 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1536 ThreadCreationTime : 07.01.2006 15:00:21 BasePriority : Normal FileVersion : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519) ProductVersion : 5.1.2600.2696 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:12 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1648 ThreadCreationTime : 07.01.2006 15:00:22 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:13 [zlclient.exe] FilePath : C:\Programme\Zone Labs\ZoneAlarm\ ProcessID : 1816 ThreadCreationTime : 07.01.2006 15:00:28 BasePriority : Normal FileVersion : 6.1.737.000 ProductVersion : 6.1.737.000 ProductName : Zone Labs Client CompanyName : Zone Labs, LLC FileDescription : Zone Labs Client InternalName : zlclient LegalCopyright : Copyright © 1998-2005, Zone Labs, LLC OriginalFilename : zlclient.exe #:14 [msnmsgr.exe] FilePath : C:\Programme\MSN Messenger\ ProcessID : 1848 ThreadCreationTime : 07.01.2006 15:00:28 BasePriority : Normal FileVersion : 7.0.0777 ProductVersion : 7.0.0777 ProductName : MSN Messenger CompanyName : Microsoft Corporation FileDescription : MSN Messenger InternalName : msnmsgr LegalCopyright : Copyright (c) Microsoft Corporation 1997-2004 LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries. OriginalFilename : msnmsgr.exe #:15 [msmsgs.exe] FilePath : C:\Programme\Messenger\ ProcessID : 1892 ThreadCreationTime : 07.01.2006 15:00:30 BasePriority : Normal FileVersion : 4.7.3001 ProductVersion : Version 4.7.3001 ProductName : Messenger CompanyName : Microsoft Corporation FileDescription : Windows Messenger InternalName : msmsgs LegalCopyright : Copyright (c) Microsoft Corporation 2004 LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries. OriginalFilename : msmsgs.exe Ist mein PC noch gesund? oder muß was gemacht werden? Kann jemand mir helfen, ich bedanke mich im Voraus Gui |
|
|
||
08.01.2006, 15:44
Ehrenmitglied
Beiträge: 29434 |
#15
Zitat Aber nach Ad-Aware Scan zeigt es immer noch MRU.das ist harmlos..und normal __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
habe mir einen Hijacker eingefangen.
Die Startseite meines Internet Explorers (Version 6.0, Betriebssystem Win XP) lässt sich nicht mehr ändern. Es hat sich
folgende Seite fest eingetragen:
res://<immer unterschiedliche dll Datei>/index.html#37794
Die dll. Datei finde ich entweder unter c:\windows oder unter c:\windows\system32
Lösche ich die dll wird wieder eine neue erzeugt und dann steht diese in der Startseite.
Ich habe schon mit folgenden Programmen versucht das Problem zu lösen:
Ad-Aware 6.0 (mit neuestem update)
SpyBot 1.3 (mit neuestem update)
McAfee (mit neuestem update)
HiJackThis 1.98.2
Das Programm Ad-Aware erkennt auch den Übeltäter in der Registry und enfternt diesen.
Leider wird die o.g Seite beim übernächsten Start des IE wieder angezeigt.
HiJackThis erkennt die Einträge auch, ich fixe sie, doch beim übernächsten Neustart des IE stehen sie wieder drin.
Die beiden anderen Programme fnden erst gar nichts.
Hab auch alle Schritte schon im abgesicherten Modus gemacht, natürlich ohne Erfolg. :-(
Kann mir jemand weiterhelfen, denn ich bin mit meinem Wissen jetzt am Ende.
Im voraus vielen Dank für eure Beiträge
Gruss
Stümper
In meinem Austostart steht auch nichts verdächtiges drin.