Trojaner TR/Spy.Tofger.BI.2 und TR/Dldr.Agent.BQ kommen immer wieder |
||
---|---|---|
#0
| ||
12.05.2005, 14:29
Ehrenmitglied
Beiträge: 29434 |
||
|
||
12.05.2005, 14:35
...neu hier
Beiträge: 7 |
#122
@ Sabina,
dankeschön für die super Hilfe hier. Ohne dieses Board wäre ich aufgeschmissen gewesen. Ihr macht einen hervorragenden Job. Mozilla kann ich leider nicht nutzen, da ich den IE für nen Browsergame benötige, denn sonst kann ich das leider nicht spielen, da nur IE-Kompatibilität besteht. Wünsche dir und den anderen helfern hier auf dem Board auf jeden Fall schonmal im vorraus schöne Pfingsten und ein erholsames Wochende. Gruß Eine glückliche Kartoffel |
|
|
||
29.05.2005, 19:08
...neu hier
Beiträge: 3 |
#123
Hallo... Habe das gleiche Problem... Immer, wenn ich den Explorer öffne bekomme ich zunächst die AntiVir-Warnung Trojaner StartPa.DU.DLL.1. Nach Löschen dessen gibt es dann sogleich diese Trojaner-Warnung Dldr.Agent.BQ... Zudem schleichen sich immer wieder dubiose Händler-Sites in den Favoritenordner des IExplorers ein??? WAS NUN??? Hilfe erbeten... THANX im Voraus... Hier mein Logfile:
Logfile of HijackThis v1.99.1 Scan saved at 19:06:18 Claasi, on 29.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\AVPersonal\AVGUARD.EXE C:\PROGRA~1\Aluria Security Center\asKernel.exe D:\AVPersonal\AVESVC.EXE D:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\DayDisplay\DayDisplay.exe D:\AVPersonal\AVMAILC.EXE D:\ZoneAlarm\zlclient.exe D:\Winamp\winamp.exe D:\Abolimba Multibrowser\Abolimba.exe C:\WINDOWS\notepad.exe D:\Foxmail\Foxmail.exe D:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = BottRAWK City Rebel R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Class - {3650C5E5-E653-3F15-6F9B-DC7DB007CD9A} - C:\WINDOWS\msbo32.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Abolimba.exe] D:\Abolimba Multibrowser\Abolimba.exe O4 - HKLM\..\RunOnce: [ieti.exe] C:\WINDOWS\system32\ieti.exe O4 - HKLM\..\RunOnce: [MRUBlaster] D:\MRU-Blaster\indexcleaner.exe -CACHE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [DayDisplay] D:\DayDisplay\DayDisplay.exe O4 - HKCU\..\RunOnce: [MovingCacheA Wininet Settings] rundll32.exe C:\WINDOWS\System32\wininet.dll,RunOnceUrlCache J:\TEMPOR~1 O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [RegistryDefrag Success Message] "D:\TuneUp Utilities 2004\RegistryDefrag.exe" /sm O4 - Global Startup: DayDisplay.lnk = D:\DayDisplay\DayDisplay.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://d:\LeechGet\\Wizard.html O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm O8 - Extra context menu item: Mit LeechGet herunterladen - file://d:\LeechGet\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://d:\LeechGet\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra button: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) O9 - Extra button: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) (HKCU) O15 - Trusted Zone: http://www.fax.de O16 - DPF: {13E4F78A-5DDE-00B4-6F7F-1F2413FAE871} - http://69.50.182.94/1/rdgNL1342.exe O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} - http://www.20x2p.com/9658a090/enter.cab O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE732_1020.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{BA91F3BD-08B2-42C8-83CE-F9DADDBB8078}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieti.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - D:\AVPersonal\AVMAILC.EXE O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - D:\AVPersonal\AVGUARD.EXE O23 - Service: Aluria Security Center Spyware Eliminator Service (ASCService) - Unknown owner - C:\PROGRA~1\Aluria Security Center\ascserv.exe O23 - Service: asKernel - Unknown owner - C:\PROGRA~1\Aluria Security Center\asKernel.exe O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - D:\AVPersonal\AVESVC.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE O23 - Service: Diskeeper - Executive Software International, Inc. - D:\DiskeeperWorkstation\DKService.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
29.05.2005, 19:47
Ehrenmitglied
Beiträge: 29434 |
#124
Hallo@BottRAWK
Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten In Start - Ausführen eingeben: cmd In dem Kommandofenster die folgenden Befehle eingeben und nach jedem die Eingabetaste drücken: sc stop 11Fßä#·ºÄÖ`I sc delete 11Fßä#·ºÄÖ`I Start-->Ausfuehren--> regedit loesche mit rechtsklick: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - Default URLSearchHook is missing O2 - BHO: Class - {3650C5E5-E653-3F15-6F9B-DC7DB007CD9A} - C:\WINDOWS\msbo32.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\RunOnce: [ieti.exe] C:\WINDOWS\system32\ieti.exe O4 - HKCU\..\RunOnce: [MovingCacheA Wininet Settings] rundll32.exe C:\WINDOWS\System32\wininet.dll,RunOnceUrlCache J:\TEMPOR~1 O9 - Extra button: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) O9 - Extra button: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EBAE9F8A-47E7-4402-A1B2-EE85801BF8C0} - (no file) (HKCU) O15 - Trusted Zone: http://www.fax.de O16 - DPF: {13E4F78A-5DDE-00B4-6F7F-1F2413FAE871} - http://69.50.182.94/1/rdgNL1342.exe O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} - http://www.20x2p.com/9658a090/enter.cab O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE732_1020.exe O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ieti.exe PC neustarten Deaktivieren Wiederherstellung--> dann aktiviere sie wieder «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html leeren: C:\WINDOWS\Temp\ C:\Temp\ J:\WINDOWS\Temp\ J:\Temp\ loeschen C:\WINDOWS\msbo32.dll C:\WINDOWS\system32\ieti.exe •Antivirus (free) Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + das neue Log vom HIjacktHis+ Report vom Scan (Antivirus) + mache einen Onlinescan mit Panda+ berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2005, 20:16
...neu hier
Beiträge: 3 |
#125
So... Hier mein DllCompare-Ergebnis... Nun gehe ich mal den Rest da oben an...
* DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ O^E says: "There were no files found " ________________________________________________ 1.362 items found: 1.362 files, 0 directories. Total of file sizes: 291.443.448 bytes 277,94 M Administrator Account = True --------------------End log--------------------- |
|
|
||
29.05.2005, 21:12
Ehrenmitglied
Beiträge: 29434 |
||
|
||
29.05.2005, 22:46
...neu hier
Beiträge: 3 |
#127
So... Hat etwas gedauert... Hier die Logs... PANDA findet nichts und die Kiste funzt wieder ohne Probleme! Ich bedanke mich für die effiziente Hilfe...
Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\notepad.exe D:\AVPersonal\AVWIN.EXE D:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = BottRAWK City Rebel O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat\Acrobat\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Abolimba.exe] D:\Abolimba Multibrowser\Abolimba.exe O4 - HKLM\..\RunOnce: [MRUBlaster] D:\MRU-Blaster\indexcleaner.exe -CACHE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [DayDisplay] D:\DayDisplay\DayDisplay.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [RegistryDefrag Success Message] "D:\TuneUp Utilities 2004\RegistryDefrag.exe" /sm O4 - Global Startup: DayDisplay.lnk = D:\DayDisplay\DayDisplay.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://d:\LeechGet\\Wizard.html O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm O8 - Extra context menu item: Mit LeechGet herunterladen - file://d:\LeechGet\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://d:\LeechGet\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - D:\AVPersonal\AVMAILC.EXE O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - D:\AVPersonal\AVGUARD.EXE O23 - Service: Aluria Security Center Spyware Eliminator Service (ASCService) - Unknown owner - C:\PROGRA~1\Aluria Security Center\ascserv.exe O23 - Service: asKernel - Unknown owner - C:\PROGRA~1\Aluria Security Center\asKernel.exe O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - D:\AVPersonal\AVESVC.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE O23 - Service: Diskeeper - Executive Software International, Inc. - D:\DiskeeperWorkstation\DKService.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 2) Arbeitsspeicher: 785904 KB frei Versionsinformationen: AVWIN.DLL : 6.30.00.17 888872 21.03.2005 10:05:26 AVEWIN32.DLL : 6.30.0.15 823808 25.05.2005 19:38:52 AVGNT.EXE : 6.30.00.05 209007 21.03.2005 10:05:24 AVGUARD.EXE : 6.30.00.06 265256 21.03.2005 10:05:24 GUARDMSG.DLL : 6.30.00.03 98344 21.03.2005 10:05:26 AVGCMSG.DLL : 6.30.00.07 438399 21.03.2005 10:05:24 AVGNTDW.SYS : 6.30.00.04 32640 21.03.2005 10:05:24 AVPACK32.DLL : 6.30.0.7 372816 21.03.2005 10:05:24 AVGETVER.DLL : 6.22.00.00 24576 21.03.2005 10:05:24 AVWIN.DLL : 6.30.00.17 888872 21.03.2005 10:05:26 AVSHLEXT.DLL : 6.30.00.02 40960 21.03.2005 10:05:24 AVSched32.EXE : 6.30.00.00 135208 21.03.2005 10:05:24 AVSched32.DLL : 6.30.00.00 172032 21.03.2005 10:05:24 AVREG.DLL : 6.30.00.03 41000 21.03.2005 10:05:24 AVRep.DLL : 6.30.00.208 1130536 27.05.2005 19:13:54 INETUPD.EXE : 6.30.00.18 1056835 21.03.2005 10:05:26 INETUPD.DLL : 6.30.00.18 286720 21.03.2005 10:05:26 CTL3D32.DLL : 2.31.000 27136 18.08.2001 14:00:00 MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 01:57:24 MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408 MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 01:57:30 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: D:\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Dokumente und Einstellungen\Claasi\Desktop\AVlog Startpfad: D:\AVPersonal Kommandozeile: Startmodus: Selbsttest Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [ ] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [X] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [X] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [ ] Reparieren mit Rückfrage [X] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [ ] Akustische Warnung Reaktion bei defekten Dateien: [ ] Löschen mit Rückfrage [X] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: F:\TEMP\ [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [ ] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Inhalt der Datei C:\AUTOEXEC.BAT: Inhalt der Datei C:\CONFIG.SYS: Inhalt der Datei C:\BOOT.INI: [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn Inhalt der Datei C:\WINDOWS\WIN.INI: ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 CMC=1 CMCDLLNAME=mapi.dll CMCDLLNAME32=mapi32.dll MAPIX=1 MAPIXVER=1.0.0.1 OLEMessaging=1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo2 asx=MPEGVideo2 au=MPEGVideo m1v=MPEGVideo m3u=MPEGVideo2 mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo2 mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo2 wm=MPEGVideo2 wma=MPEGVideo2 wmv=MPEGVideo2 wmx=MPEGVideo2 wvx=MPEGVideo2 wpl=MPEGVideo [IRIS_IPE] menu=2 [programs] NOTEPAD.EXE=C:\WINDOWS\NOTEPAD.EXE Inhalt der Datei C:\WINDOWS\SYSTEM.INI: ; for 16-bit app support [drivers] wave=mmdrv.dll timer=timer.drv [mci] [driver32] [386enh] woafont=app850.FON EGA80WOA.FON=EGA80850.FON EGA40WOA.FON=EGA40850.FON CGA80WOA.FON=CGA80850.FON CGA40WOA.FON=CGA40850.FON Initialisierung OK Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 OK Master-Bootsektor von Festplatte HD2 OK Bootsektor von Laufwerk D: OK Dieser Sektor ist bekannt. Systemdateien boot.ini OK bootfont.bin OK IO.SYS OK MSDOS.SYS OK NTDETECT.COM OK ntldr OK pagefile.sys OKDie geloggte Datei pagefil1.sys konnte nicht ins temporäre Verzeichnis kopiert werden Systemtest: OK Selbsttest: OK Dieser Beitrag wurde am 29.05.2005 um 23:15 Uhr von BottRAWK editiert.
|
|
|
||
30.05.2005, 11:00
...neu hier
Beiträge: 5 |
#128
Hallo Sabina.
Habe ein ähnliches Problem wie BottRAWK und wie ich hier gelesen habe sollte man das logfile von hijackthis posten, was ich hiermit mache. Es wäre nett wenn du dich meiner auch annehmen könntest. Für Hilfe wäre ich dir sehr dankbar. gruss mordhorst90 Logfile of HijackThis v1.99.1 Scan saved at 10:54:32, on 30.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\winqh32.exe C:\WINDOWS\Mixer.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSI\Bluetooth Software\BTTray.exe C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE C:\Programme\Opera7\opera.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Chef\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: Class - {0B7BB476-D99E-5DD3-E092-CBD7B7A94A44} - C:\WINDOWS\d3mr32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [atlwj32.exe] C:\WINDOWS\atlwj32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [winqh32.exe] C:\WINDOWS\system32\winqh32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Azureus\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Azureus\plmg.exe (HKCU) O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appii32.exe (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
30.05.2005, 12:20
Ehrenmitglied
Beiträge: 29434 |
#129
Hallo@mordhorst90
In Start - Ausführen eingeben: cmd In dem Kommandofenster die folgenden Befehle eingeben und nach jedem die Eingabetaste drücken: sc stop 11Fßä#·ºÄÖ`I sc delete 11Fßä#·ºÄÖ`I Start-->Ausfuehren--> regedit loesche mit rechtsklick: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\pnqro.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: Class - {0B7BB476-D99E-5DD3-E092-CBD7B7A94A44} - C:\WINDOWS\d3mr32.dll O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [atlwj32.exe] C:\WINDOWS\atlwj32.exe O4 - HKLM\..\RunOnce: [winqh32.exe] C:\WINDOWS\system32\winqh32.exe O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\appii32.exe (file missing) PC neustarten Deaktivieren Wiederherstellung--> dann aktiviere sie wieder «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html leeren: C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) •Antivirus (free) Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + mache einen Onlinescan mit Panda+ berichte http://virus-protect.org/onlinescan.html + •Ad-aware SE Personal 1.05 Updated http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen das neue Log vom HIjacktHis+ Report vom Scan (Antivirus) + -------------------------------------------------------------------- fuer die Zukunft: #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.05.2005, 15:24
...neu hier
Beiträge: 5 |
#130
Hi Sabina,
erstmal vielen dank für die fixe antwort. Leider hab ich ein problem, wenn ich versuche den cmd mit den befehlen: sc stop 11Fßä#·ºÄÖ`I sc delete 11Fßä#·ºÄÖ`I zu füttern, sagt mir das system der angegebene dienst ist kein installierter dienst. Durch copy and paste werden die parameter auch falsch angezeigt. So kann ich kein º im cmd fenster erstellen. Hab auch versucht deiner anleitung trotzdem weiter zu folgen, finde diese schlüssel, siehe unten, leider auch nicht. Denk aber, das das mit dem stop und delete zusammenhängt. Wäre nett wenn du mir dabei helfen könntest. gruss mord HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I |
|
|
||
31.05.2005, 01:47
Ehrenmitglied
Beiträge: 29434 |
#131
Hallo@mordhorst90
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: 11Fßä#·ºÄÖ`I Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2005, 08:55
...neu hier
Beiträge: 5 |
#132
Hallo Sabina, hier das ergebnis
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "11Fßä#·ºÄÖ`I" 31.05.2005 08:50:58 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000\Control] "ActiveService"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000\Control] "ActiveService"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum] [HKEY_USERS\S-1-5-21-1177238915-746137067-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] "c"="cmd sc stop 11Fßä#·ºÄÖ`I\\1" ich pack gleich auch noch ein aktuelles logfile von hijackthis mit rein, da ich schon einiges versucht habe um die trojaner zu löschen und nicht weiss ob das irgendwas verändert hat von dem du wissen solltest. Btw. vielen Dank für die Hilfe. Gruss mordhorst90 Logfile of HijackThis v1.99.1 Scan saved at 08:53:46, on 31.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\iptp32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\javavi32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSI\Bluetooth Software\BTTray.exe C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE C:\Programme\Opera7\opera.exe C:\WINDOWS\System32\WScript.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Dokumente und Einstellungen\Chef\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gmjbn.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gmjbn.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gmjbn.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gmjbn.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gmjbn.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gmjbn.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gmjbn.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: Class - {E090AF9D-5BB5-11AF-EDC8-3CFC8DED11EC} - C:\WINDOWS\system32\apipr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [javavi32.exe] C:\WINDOWS\system32\javavi32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Azureus\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Azureus\plmg.exe (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117464489746 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iptp32.exe" /s (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
31.05.2005, 10:35
Ehrenmitglied
Beiträge: 29434 |
#133
Hallo@mordhorst90
Zitat loesche in der Registry: und arbeite allen weiteren Punkte ab, wie oben erklaert __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2005, 10:40
Ehrenmitglied
Beiträge: 29434 |
#134
Hallo@mordhorst90
Zitat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2005, 22:37
...neu hier
Beiträge: 5 |
#135
Hallo sabina
leider hat das nicht funktionier, vielleicht mache ich auch was falsch. sc stop 11Fßä#·ºÄÖ`I sc delete 11Fßä#·ºÄÖ`I Wenn ich das so in die dos box eingebe wird der Befehl nicht ausgeführt. Der angegebene Dienst ist kein installierter dienst. Den rest hab ich so wie du gesagt hast gemacht, leider meldet antivir nach einem neustart wieder den trojaner und es wird nach einer weile diese seite automatisch geöffnet. http://nomorepcspies.com/CHMhelp.chm (von opera) Meldung von antivir: Ist das Trojanische Pferd TR/StartPa.DU.DLL.1! C:\WINDOWS\SYSTEM32\LGUQL.DLL soll ich nochmal das Hijacklog posten? Ich glaub ich stell mich einfach nur zu dumm an. Bitte hab geduld mit mir, ich kenne mich mit diesem thema nicht so gut aus. gruss mordhorst90 |
|
|
||
Damit bist du entlassen und alles gute fuer dich + PC
Lade dir noch den Browser Firefox (Mozilla) und surfe nur mit ihm
__________
MfG Sabina
rund um die PC-Sicherheit