Trojaner TR/Spy.Tofger.BI.2 und TR/Dldr.Agent.BQ kommen immer wieder |
||
---|---|---|
#0
| ||
17.12.2004, 06:12
Member
Beiträge: 14 |
||
|
||
17.12.2004, 11:02
Ehrenmitglied
Beiträge: 29434 |
#77
Hallo@dieBedienung
Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services loesche, falls es da ist: C:\WINDOWS\system32\ieno.exe PC neustarten gehe in den abgesicherten Modus: #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen findest du ein: ieno.exe ?--> loeschen loesche mit der Killbox (falls es noch existiert: C:\WINDOWS\nsdb\hosts #öffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost Poste dann das neue Log noch einmal (und deinstalliere den eSCan (im abgesicherten Modus)...da wird sich die performance verbessern __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.12.2004 um 11:14 Uhr von Sabina editiert.
|
|
|
||
17.12.2004, 12:39
...neu hier
Beiträge: 7 |
#78
Hallo!
Entlich hab ich was gefunden wo man mir helfen kann! Ich hab die selben Probleme wie oben genannt! Hier mein log Logfile of HijackThis v1.99.0 Scan saved at 12:37:56, on 17.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\ntqs.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\tool\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {741FAA78-FB1F-CB3C-44BD-E14600CFF87A} - C:\WINDOWS\javayq.dll O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [mshn32.exe] C:\WINDOWS\system32\mshn32.exe O4 - HKLM\..\RunOnce: [ntqs.exe] C:\WINDOWS\system32\ntqs.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a951811 2bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abad c3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6 O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{16234406-A44D-49A6-B923-65749868563D}: NameServer = 62.72.64.237 212.7.148.65 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\sysii32.exe (file missing) Wäre nett wenn ihr mir auch so nett helfen könntet! Danke der Parsifal Dieser Beitrag wurde am 17.12.2004 um 17:00 Uhr von Sabina editiert.
|
|
|
||
17.12.2004, 16:50
Ehrenmitglied
Beiträge: 29434 |
#79
Hallo@Parsifal
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services loesche, falls du es dort findest: C:\WINDOWS\system32\sysii32.exe ________________________________ Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. So wird der Dienst deaktiviert: Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Workstation NetLogon Service ." aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Workstation NetLogon Service" beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der Nachrichtendienst läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen. www.malwarebytes.biz/AboutBuster.zip AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen. http://www.lavasoft.de/support/download/ Lade die killbox: http://www.bleepingcomputer.com/files/killbox.php deinstalliere deinen Virenscanner (ist wichtig) und lade: #eScan-Trial ->noch nicht scannen, erst im abgesicherten Modus http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) _________________________________________________________________ Windows so einstellen, daß alle Dateien angezeigt werden (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren). Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg auf dem Desktop speichern. ------------------------------------------------------------------------------------------------------------------ REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_O?*001E*2019*017DRT*00F1*00E5*00C8*00B2$*000E*00D3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåȲ$Ó] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW] ------------------------------------------------------------------------------------------------------------------------ Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.tu-berlin.de/www/software/virus/savemode.shtml Die Datei fix.reg auf dem Desktop doppelklicken. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vkagy.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {741FAA78-FB1F-CB3C-44BD-E14600CFF87A} - C:\WINDOWS\javayq.dll O4 - HKLM\..\Run: [mshn32.exe] C:\WINDOWS\system32\mshn32.exe O4 - HKLM\..\RunOnce: [ntqs.exe] C:\WINDOWS\system32\ntqs.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112b c6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abad c3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6 O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx Button "Fix checked" #Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ->Löschen/mit der Killbox: KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\vkagy.dll C:\WINDOWS\javayq.dll C:\WINDOWS\system32\sysii32.exe neustarten und wieder in den abgesicherten Modus gehen scanne mit AbuotBuster, Adaware und eScan (klicke auf: awn2k3e.exe ) #öffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein Dann poste das Log noch einmal. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.12.2004 um 16:59 Uhr von Sabina editiert.
|
|
|
||
17.12.2004, 17:22
Member
Beiträge: 14 |
#80
hi,
in der registry wars auch nicht zu finden... Zitat hier mal mein escan log von heute nacht. |
|
|
||
17.12.2004, 18:20
...neu hier
Beiträge: 7 |
#81
Danke!!!!
Mach ich ! Hab ne frage: C:\WINDOWS\system32\sysii32.exe ist nicht an der stelle wo du gesagt hast soll ich sie trotzdem loeschen? Hoffe ich schaff es heut noch mal das escan zu laden dauert mit isdn etwas länger und mein rechner is schon 3 mal mit bluescreen abgestüzt! |
|
|
||
18.12.2004, 02:07
Ehrenmitglied
Beiträge: 29434 |
#82
Hallo@Parsifal
sysii32.exe -->loeschen, egal wo sie ist ! Wenn dein System mit dem eScan trial nicht zurechtkommt, lade das Erkennungstool und loesche alle angezeigten Daten mit der Killbox. #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen dann versuche, ob es mit dem Antivirus besser geht (scanne unbedingt im abgesicherten Modus) #Antivirus (free) http://www.free-av.de/ und konfiguriere nach dem Installationsscann (warte ihn in Ruhe ab: <alle Dateien< <Heuristik: mittel< und scanne im abges. Modus --<poste mir das Scanlog (!) vom Antivrus __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 02:11 Uhr von Sabina editiert.
|
|
|
||
18.12.2004, 02:12
Ehrenmitglied
Beiträge: 29434 |
#83
Hallo@dieBedienung
Na, da war noch ein Trojaner versteckt....poste bitte das neue Log vom HijackThis. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.12.2004, 10:55
...neu hier
Beiträge: 7 |
#84
Hier ist noch mal der neue log von hijack!
Hoffe das ich jetzt geheilt bin! Logfile of HijackThis v1.99.0 Scan saved at 13:03:54, on 18.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\PROGRA~1\eScan\TRAYICOS.EXE C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\kavss.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\eScan\AvpM.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\tool\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\sysii32.exe (file missing) Danke vielmals für die Hilfe Grüsse der Parsifal Dieser Beitrag wurde am 18.12.2004 um 13:05 Uhr von Parsifal editiert.
|
|
|
||
18.12.2004, 14:50
Ehrenmitglied
Beiträge: 29434 |
#85
Hallo@Parsifal
Deinstalliere den Escan: Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. So wird der Dienst deaktiviert: Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Workstation NetLogon Service ." aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Workstation NetLogon Service" beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der Nachrichtendienst läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. ___________________________________________________________________ Lade: #Antivirus (free) http://www.free-av.de/ und konfiguriere nach dem Installationsscann (warte ihn in Ruhe ab: <alle Dateien< <Heuristik: mittel< Fixe: O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\sysii32.exe (file missing) und : und scanne im abges. Modus --<poste mir das Scanlog (!) vom Antivrus Dann STELLE EINE STARTSEITE EIN und poste das Log noch einmal. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 14:52 Uhr von Sabina editiert.
|
|
|
||
18.12.2004, 19:37
Member
Beiträge: 14 |
#86
hi Sabina,
Zitat Logfile of HijackThis v1.99.0lass mich raten 015 usw... |
|
|
||
18.12.2004, 21:43
Ehrenmitglied
Beiträge: 29434 |
#87
Hallo@die Bedienung
Ms4Hd_look #Tool "Ms4Hd_look" click on the runme.bat Download the file here and unzip it. #Lade hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpacke die Zip-Datei in einen eigenem Ordner Anschließend starte aus diesem Ordner die Datei runme.bat. erhalte zwei Log-Dateien. 1x eine look.log und eine err.log. Poste bitte dessen Inhalt hier. #Originalseite [Ms4Hd_look] http://computercops.biz/postp377976.html http://www.wilderssecurity.com/showpost.php?p=309847&postcount=35 __________________________________________________________________________ update den Antivirus , gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und mache einen Komplettscann (konfiguriere den Antivirus......"alle Dateien" und Heuristik: mittel" Poste mir dann bitte das LOG von [Ms4Hd_look] und da ScanLog vom Antivirus __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 21:45 Uhr von Sabina editiert.
|
|
|
||
18.12.2004, 23:16
Member
Beiträge: 14 |
#88
look.log
Zitat An Ms4Hd_look by IMM (v0.003)err.log ist leer... der rest kommt gleich |
|
|
||
18.12.2004, 23:30
Ehrenmitglied
Beiträge: 29434 |
#89
Hallo@dieBedienung
Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" http://computercops.biz/postp237756.html update den Antivirus , gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und mache einen Komplettscann (konfiguriere den Antivirus......"alle Dateien" und Heuristik: mittel" poste das :ScanLog vom Antivirus __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 23:31 Uhr von Sabina editiert.
|
|
|
||
19.12.2004, 01:34
Member
Beiträge: 14 |
#90
hier noch das antivir... vom posting vorher...!!!
Zitat Start des Suchlaufs: Samstag, 18. Dezember 2004 16:08 Dieser Beitrag wurde am 19.12.2004 um 01:39 Uhr von dieBedienung editiert.
|
|
|
||
wenn ich das mit der Killerbox vernichten will kommt immer file doesnot seem to exist ;( war gestern auch schon *zugeb* dachte da dass ich es aus schussel zum 2. mal löschen wollte...
lg
sara