Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
25.06.2005, 00:23
Ehrenmitglied
Beiträge: 29434 |
||
|
||
25.06.2005, 02:25
...neu hier
Beiträge: 5 |
#212
noch mal danke hier die ergebnisse:
Scan Control Dumped @ 02:15:41 25-06-05 (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\tasks.exe Suspicious Filename: Filename consists only of spaces (except for extension) File: c:\windows\system32\.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\recycled\dc14.exe (DELETED) Positive identification: Adware.WinAD.ai File: c:\program files\media access\mediaacck.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\zea2cv1f\lcins4[1].exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\6xzsdkr6\lcins4[1].exe Suspicious Filename: Dual extensions File: c:\eigene dateien\download\tools\smalthings\keyhole2lt-2.2.990.exe Suspicious Filename: Dual extensions File: c:\eigene dateien\download\tools\mp3\audacity-win-1.2.3.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0122487.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0122494.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125487.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125498.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125523.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125546.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125578.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0125590.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0126580.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0128579.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0129613.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130608.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130614.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130619.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp250\a0130642.exe (DELETED) Positive identification: Adware.WinAD.ai Dropper File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp251\a0130689.exe (DELETED) Positive identification: Adware.WinAD.ai File: c:\system volume information\_restore{d6325815-7fa3-4b9a-999d-0540b08613cf}\rp251\a0130690.exe ich habe die dateien die ich schon kannte (von meinem normalen virenscanner) gleich mal geloescht (hatte ich schon oefter gemacht die kamen nur immer wieder .....). Verzeichnis von C:\WINDOWS\SYSTEM32 20.06.2005 20:05 0 TFTP2824 20.06.2005 20:05 0 GET.exe 20.06.2005 20:02 0 .exe 20.06.2005 19:58 89.418 taskbars.exe 20.06.2005 17:36 2.184 wpa.dbl 15.06.2005 18:29 47.372 perfc007.dat 15.06.2005 18:29 313.086 perfh007.dat 15.06.2005 18:29 308.136 perfh009.dat 15.06.2005 18:29 39.146 perfc009.dat 15.06.2005 18:29 714.888 PerfStringBackup.INI 26.05.2005 04:19 173.536 wuweb.dll 08.05.2005 16:08 3.069 jupdate-1.5.0_02-b09.log Verzeichnis von C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp 25.06.2005 01:21 16.384 ~DFAC3.tmp 25.06.2005 01:18 412 jusched.log 25.06.2005 01:08 16.384 ~DF74F.tmp 25.06.2005 01:08 16.384 ~DFE755.tmp 25.06.2005 01:08 16.384 ~DFABB3.tmp (den ordner hatte ich komplett geleert als das problem aufgetaucht ist) Verzeichnis von C:\WINDOWS 25.06.2005 01:21 6 dcstds3.dll 25.06.2005 01:19 0 0.log 25.06.2005 01:18 159 wiadebug.log 25.06.2005 01:18 2.048 bootstat.dat 25.06.2005 01:15 32.446 SchedLog.Txt 25.06.2005 01:15 50 wiaservc.log 25.06.2005 01:15 8.749 setupapi.log 24.06.2005 19:30 8.077 svcpack.log 24.06.2005 18:38 5.617 WindowsUpdate.log 24.06.2005 18:36 1.361.503 setupapi.log.0.old 24.06.2005 18:25 9.679 Active Setup Log.txt 23.06.2005 22:12 2.125 win.ini 23.06.2005 22:12 4.559 pow32.prj 23.06.2005 22:12 197 pow32.dsk 23.06.2005 22:12 3.536 pow32.cfg 21.06.2005 16:03 1.233 Winamp.ini 20.06.2005 20:00 139 msicpl.ini 20.06.2005 19:23 429 nsw.log 15.06.2005 19:40 223.671 wmsetup.log 14.06.2005 17:13 398.587 Directx.log 12.06.2005 10:50 400 blank.html 10.06.2005 19:07 99.970 UninstallFirefox.exe 10.06.2005 19:07 20.703 mozver.dat 06.06.2005 18:05 539 bobdown.ini 24.05.2005 21:25 24 dlb.ini 10.05.2005 18:13 1.212 IE4 Error Log.txt Verzeichnis von C:\ 25.06.2005 02:24 0 sys.txt 25.06.2005 02:23 13.456 system.txt 25.06.2005 02:21 489 systemtemp.txt 25.06.2005 02:15 118.991 system32.txt 25.06.2005 01:18 402.653.184 pagefile.sys 25.06.2005 01:10 1.206.669 d.txt 30.04.2005 12:07 112.776 winzip.log 24.04.2005 16:09 0 VDM3B.tmp 24.04.2005 16:09 0 VDM3A.tmp vielen dank noch mal. |
|
|
||
25.06.2005, 10:41
Ehrenmitglied
Beiträge: 29434 |
#213
Hallo@langbaeh
loesche mit der Killbox: http://virus-protect.org/killbox.html c:\program files\media access\mediaacck.exe c:\recycled\dc14.exe C:\eigene dateien\download\tools\smalthings\keyhole2lt-2.2.990.exe c:\tasks.exe C:\UNMT.EXE C:\WINDOWS\SYSTEM32\TFTP2824 C:\WINDOWS\SYSTEM32\GET.exe C:\WINDOWS\SYSTEM32\.exe C:\WINDOWS\SYSTEM32\taskbars.exe C:\WINDOWS\blank.html PC neustarten , c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\zea2cv1f\<--loeschen c:\dokumente und einstellungen\fabian langguth\lokale einstellungen\temporary internet files\content.ie5\6xzsdkr6\ loesche alle temp-dateien mit der killbox (ist auf der Seite erklaert) Systemwiederherstellung deaktivieren(am Ende der reinigung aktiviere sie wieder) http://virus-protect.org/Systemwiederherstellung.html dann mache Onlinescans+ berichte http://virus-protect.org/onlinescan.html + poste das neue Log vom HijacktHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.06.2005, 16:51
...neu hier
Beiträge: 5 |
#214
ich hab mal 2 von den online scannern laufen lassen. haben beide nichts gefunden.
hier noch die neue hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 16:44:06, on 25.06.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v5.00 SP1 (5.00.2614.3500) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Microsoft Office\Office\Osa.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Fabian Langguth\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Popup Blocker System Monitoring] PopUpBlockerm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Popup Blocker System Monitoring] PopUpBlockerm.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\1200 CU PLUS\WATCH.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Loadout Manager.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: Win32 Classes - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119631005055 O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O20 - Winlogon Notify: WB - C:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\fastload.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
|
|
||
25.06.2005, 17:00
Ehrenmitglied
Beiträge: 29434 |
#215
Hallo@langbaeh
Fixe mit dem HijackTHis: (ist vom tds-Tool) O1 - Hosts: 64.91.255.87 www.dcsresearch.com bitte noch einmal start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus einzeln reinkopierendann öffnet sich der Editor) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.06.2005, 17:18
...neu hier
Beiträge: 5 |
#216
hier
Verzeichnis von C:\WINDOWS\SYSTEM32 20.06.2005 17:36 2.184 wpa.dbl 15.06.2005 18:29 313.086 perfh007.dat 15.06.2005 18:29 47.372 perfc007.dat 15.06.2005 18:29 714.888 PerfStringBackup.INI 15.06.2005 18:29 39.146 perfc009.dat 15.06.2005 18:29 308.136 perfh009.dat 26.05.2005 04:19 173.536 wuweb.dll 08.05.2005 16:08 3.069 jupdate-1.5.0_02-b09.log 29.04.2005 14:23 23.392 nscompat.tlb 29.04.2005 14:23 16.832 amcompat.tlb Verzeichnis von C:\DOKUME~1\FABIAN~1\LOKALE~1\Temp 25.06.2005 17:06 717 control.xml 25.06.2005 14:33 280 kb.log 25.06.2005 14:19 416 java_install_reg.log 3 Datei(en) 1.413 Bytes 0 Verzeichnis(se), 4.301.651.968 Bytes frei Verzeichnis von C:\WINDOWS 25.06.2005 17:06 224.917 wmsetup.log 25.06.2005 16:53 18.112 setupapi.log 25.06.2005 14:16 0 0.log 25.06.2005 14:15 159 wiadebug.log 25.06.2005 14:15 2.048 bootstat.dat 25.06.2005 14:14 32.640 SchedLog.Txt 25.06.2005 14:14 50 wiaservc.log 25.06.2005 13:08 1.233 Winamp.ini 25.06.2005 10:43 2.125 win.ini 25.06.2005 10:43 4.407 pow32.prj 25.06.2005 10:43 45 pow32.dsk 25.06.2005 10:43 3.536 pow32.cfg 25.06.2005 01:21 6 dcstds3.dll 24.06.2005 19:30 8.077 svcpack.log 24.06.2005 18:38 5.617 WindowsUpdate.log 24.06.2005 18:36 1.361.503 setupapi.log.0.old 24.06.2005 18:25 9.679 Active Setup Log.txt 20.06.2005 20:00 139 msicpl.ini 20.06.2005 19:23 429 nsw.log 14.06.2005 17:13 398.587 Directx.log 10.06.2005 19:07 99.970 UninstallFirefox.exe 10.06.2005 19:07 20.703 mozver.dat 06.06.2005 18:05 539 bobdown.ini 24.05.2005 21:25 24 dlb.ini 10.05.2005 18:13 1.212 IE4 Error Log.txt 29.04.2005 14:35 321 wmsetup10.log 29.04.2005 14:23 316.640 WMSysPr9.prx Verzeichnis von C:\ 25.06.2005 17:17 0 sys.txt 25.06.2005 17:16 13.362 system.txt 25.06.2005 17:15 397 systemtemp.txt 25.06.2005 17:14 118.856 system32.txt 25.06.2005 14:15 402.653.184 pagefile.sys 25.06.2005 01:10 1.206.669 d.txt 30.04.2005 12:07 112.776 winzip.log 24.04.2005 16:09 0 VDM3B.tmp 24.04.2005 16:09 0 VDM3A.tmp 02.03.2005 17:03 14.676.137 RTS32.TXT 26.02.2005 10:50 108 CONFIG.SYS |
|
|
||
25.06.2005, 19:55
Ehrenmitglied
Beiträge: 29434 |
#217
Hallo@langbaeh
dieses Mal ist es noch gutgegangen, der Backdoor/Wurm ist nicht mehr zu sehen. Aber du solltest unbedingt die WindowsUpdates machen, Anleitungen findest du auf meiner HP . Gruss und alles Gute fuer dich + PC --------------------------------------------------------------------------- (PS: fixe noch O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing) ClaerProg..lade die neuste Version <1.5.1 http://virus-protect.org/temp.html <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - URLs - index.dat #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.06.2005, 09:51
...neu hier
Beiträge: 5 |
#218
vielen dank.
ich benutze schon seit langer zeit hauptsaechlich mozilla bzw firefox. nur fuer manche plugins die im FF nicht funktionieren nehm ich ab und zu den IE. |
|
|
||
28.06.2005, 09:43
...neu hier
Beiträge: 1 |
#219
Guten Morgen, habe das selbe Problem,
hab eine Log erstellt Logfile of HijackThis v1.99.1 Scan saved at 08:42:08, on 28.06.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\Explorer.EXE C:\WINNT\system32\MxConfig.exe C:\progra~1\samsung\smarthru\PORTCTRL.EXE C:\WINNT\system32\taskbars.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\System32\MDM.EXE \Nt-server-01\Allgemein\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6322609 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6322609 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6322609 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.45.1:3128;gopher=192.168.45.1:3128;http=192.168.45.1:3128;https=192.168.45.1:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINNT\System32\WStart.dll (file missing) O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\programme\lotus\organize\iehelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [MxConfig] MxConfig.exe /daemon O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\smarthru\PORTCTRL.EXE O4 - HKLM\..\Run: [MS taskbar] taskbars.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe O4 - HKCU\..\Run: [MS taskbar] taskbars.exe O4 - Startup: PC-Handwerker.lnk = C:\Sage\KHK\PC-Handwerker\seumain.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organize\bandobjs.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O13 - WWW. Prefix: http:// O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = teleservice O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA9E80-9EFF-4EE6-80FC-F42D2E18A00B}: Domain = teleservice O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA9E80-9EFF-4EE6-80FC-F42D2E18A00B}: NameServer = 192.168.45.254 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = teleservice O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 192.168.45.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = teleservice O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 192.168.45.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 192.168.45.1 O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINNT\System32\xplugin.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Jana Server 2 (Janad) - Thomas Hauck, Privat - C:\Programme\Jana2\janad.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe Wäre dankbar für jegliche Hilfe. Mfg Arthur Seidler |
|
|
||
28.06.2005, 10:22
Ehrenmitglied
Beiträge: 29434 |
#220
Hallo@arthurrS
einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html C:\WINNT\system32\MxConfig.exe C:\WINNT\system32\taskbars.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten ------------------------------------------------------------------------- bitte abarbeiten: http://virus-protect.org/tds.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=6322609 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=6322609 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=6322609 O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINNT\System32\WStart.dll (file missing) O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - c:\programme\lotus\organize\iehelper.dll (??) O4 - HKLM\..\Run: [MS taskbar] taskbars.exe O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe O4 - HKCU\..\Run: [MS taskbar] taskbars.exe O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organize\bandobjs.dll (??) O13 - WWW. Prefix: http:// O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Kennen Sie die IP oder die Domäne 'teleservice' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = teleservice O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA9E80-9EFF-4EE6-80FC-F42D2E18A00B}: Domain = teleservice O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = teleservice O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = teleservice O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINNT\System32\xplugin.dll PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINNT\System32\xplugin.dll C:\WINNT\SYSTEM32\GET.exe C:\WINNT\SYSTEM32\.exe C:\WINNT\SYSTEM32\taskbars.exe c:\programme\lotus\organize\iehelper.dll (??) C:\WINNT\System32\WStart.dll PC neustarten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus einzeln reinkopierendann öffnet sich der Editor) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2005, 10:12
...neu hier
Beiträge: 1 |
#221
Hi Sabina.
ich habe das gleiche problem mit diesen lowzones-trojanern. ich hab versucht, mich über diesen thread etwas schlauer zu machen, hat aber nicht so ganz geklappt... anscheinend gibt es keine pauschallösung für dieses problem, deshalb poste ich mal (wie alle anderen) meine hijack-logfile. vielleicht kannst du mir helfen?? Logfile of HijackThis v1.99.1 Scan saved at 09:48:55, on 16.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\mapi32.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AVPersonal\UPDATE\antivir_workstation_win_de_h.exe C:\DOKUME~1\Michael\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVWIN.EXE C:\PROGRA~1\IZArc\IZArc.exe C:\DOKUME~1\Michael\LOKALE~1\Temp\ARC6F\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe O4 - Global Startup: Bootvis.lnk = ? O17 - HKLM\System\CCS\Services\Tcpip\..\{B9F303E2-9BA6-4591-A29C-CCD44C0CC1F7}: NameServer = 217.237.151.161 217.237.148.49 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe ich hoffe du kannst was finden. die trojaner hat antivir gefunden... mfg noggi |
|
|
||
18.08.2005, 23:09
...neu hier
Beiträge: 2 |
#222
Hi wie alle andern habe auch ich das prob mit "Trojanische Pferd TR/Lowzones.A"
Bin ebenfalls nen vollnoob in sachen pc. hab mich natürlich auch bemüht aus den andern beiträgen schlau zu werden, aber es wollte mir nich so recht gelingen. kann mir jemand helfen? hier ist mein scan. Logfile of HijackThis v1.99.1 Scan saved at 22:59:51, on 18.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\Nikon\NkView6\NkvMon.exe C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Tobias\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [sysmngr32] sys64mnger.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112695392596 O17 - HKLM\System\CCS\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) |
|
|
||
19.08.2005, 09:08
Ehrenmitglied
Beiträge: 29434 |
#223
noggi
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe PC neustarten Download: http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen einzeln in das schwarze DOS-Fenster reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 30 Tage raus. Dann schliesse DOS und führe die gleiche Anweisungen aus für: cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ------------- BitDefender Free Edition v7 (lade und scanne im abgesicherten modus)-->berichte, was das Tool findet http://virus-protect.org/antivirenfree.html -------------------------------------------------------------------------------- INFO:-->ist fuer mich C:\WINDOWS\System32\mapi32.exe C:\WINDOWS\System32\msmq2inst.exe C:\WINDOWS\extel.exe C:\WINDOWS\SYSTEM32\RDRIV.SYS aaa.exe zzz.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 09:18
Ehrenmitglied
Beiträge: 29434 |
#224
waahTobi
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [sysmngr32] sys64mnger.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe PC neustarten Download: http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen einzeln in das schwarze DOS-Fenster reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 30 Tage raus. Dann schliesse DOS und führe die gleiche Anweisungen aus für: cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Zitat ---------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 14:56
...neu hier
Beiträge: 2 |
#225
Hi Sabina, erstma danke für die schnelle antwort und überhaupt dafür, dass du dir die Zeit nimmst und bereit bist uns armen nichtswissenden PCusern zu helfen.
als ich heut den pc hochgefahrn hab, dachte ich, dass ich jetzt den 6er im lotto gewonnen hab. denn zu meinem TR/LowzonesA - Trojaner hatte ich auch meldungen von antivir über ähnlich klingende Trojaner wie zum bsp TR/DIdr.IstBar.IJ1 TR/DIdr.Adload.A und noch einer der nen dydfur-anhang hatte oder so ähnlich muss gestehn das ich mir den namen gar nich aufgeschrieben hab ich pannemann. aber naja scheint vorerst alles zu funzen. Hier skommen nun meine FindT-textdatei und die verschiedenen Ergebnisse der DOS-arbeitsschritte. Abschließend nochmals der HijackThisscan. PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Directory of C:\WINDOWS\system32 19.08.2005 14:12 141 ii 18.08.2005 22:07 70.656 sys64mnger.exe 18.08.2005 22:01 23.614 TFTP1144 18.08.2005 19:09 2.184 wpa.dbl Directory of C:\DOCUME~1\Tobias\LOCALS~1\Temp 19.08.2005 14:28 512 ~DFCC60.tmp 19.08.2005 14:06 25.088 iinstall.exe 18.08.2005 22:11 0 WERE.tmp 18.08.2005 22:03 16.384 ~DFDD72.tmp 18.08.2005 22:03 512 ~DFDE72.tmp 18.08.2005 22:03 512 ~DFDD49.tmp 18.08.2005 22:03 16.384 ~DFDACE.tmp 18.08.2005 22:03 512 ~DFDA85.tmp 18.08.2005 22:03 16.384 ~DFD997.tmp 18.08.2005 21:55 346 Acr1C1.tmp 18.08.2005 21:55 419 Acr1C0.tmp 18.08.2005 21:46 512 ~DF7305.tmp 18.08.2005 21:35 7.850 Acr18E.tmp 18.08.2005 21:35 2.048.000 Acr18D.tmp 18.08.2005 21:35 0 Acr18C.tmp 18.08.2005 21:24 512 ~DF5BDC.tmp 18.08.2005 21:21 738 mso10.wmf 18.08.2005 21:21 16.384 ~WRF0002.tmp 18.08.2005 21:10 512 ~DF46B6.tmp 13.08.2005 13:31 4.350 BC0D4B0F.txt 11.08.2005 13:40 4.592 SIntfIcn.ani 11.08.2005 13:40 24.516 SIntfNT.dll 11.08.2005 13:40 19.924 SIntf32.dll 11.08.2005 13:40 12.067 SIntf16.dll 11.08.2005 13:40 36.864 CmdLineExt02.dll 04.08.2005 12:47 512 ~DF8D57.tmp 04.08.2005 12:47 16.384 ~DF8D38.tmp 04.08.2005 12:47 512 ~DF8D28.tmp 04.08.2005 12:47 16.384 ~DF8D04.tmp 04.08.2005 12:47 512 ~DF8CF6.tmp 04.08.2005 12:47 16.384 ~DF8CE0.tmp 23.07.2005 18:03 0 WER40.tmp 23.07.2005 16:27 512 ~DF9DCB.tmp 23.07.2005 16:27 16.384 ~DF9DBD.tmp 23.07.2005 16:27 512 ~DF9DAF.tmp 23.07.2005 16:27 16.384 ~DF9D9D.tmp 23.07.2005 16:27 512 ~DF9D8D.tmp 23.07.2005 16:27 16.384 ~DF9D6A.tmp 20.07.2005 16:23 4.624 EE11CC11.txt 20.07.2005 12:36 0 WER4.tmp 20.07.2005 12:18 4.329 C00EA20E.txt Directory of C:\WINDOWS 19.08.2005 14:24 291.836 WindowsUpdate.log 19.08.2005 14:19 159 wiadebug.log 19.08.2005 14:19 50 wiaservc.log 19.08.2005 14:19 0 0.log 19.08.2005 14:19 606 ULEAD32.INI 19.08.2005 14:18 2.048 bootstat.dat 19.08.2005 14:18 32.542 SchedLgU.Txt 19.08.2005 14:06 276.227 setupapi.log 13.08.2005 15:31 3.017 CDEX.INI 13.08.2005 13:26 2.060 cdplayer.ini Directory of C:\ 19.08.2005 14:41 0 sys.txt 19.08.2005 14:38 5.347 system.txt 19.08.2005 14:34 4.729 systemtemp.txt 19.08.2005 14:27 90.429 system32.txt 19.08.2005 14:18 402.653.184 pagefile.sys 19.08.2005 14:06 53.460 msgupdate.exe 19.08.2005 14:06 32.256 msgupdate1.exe Logfile of HijackThis v1.99.1 Scan saved at 14:54:51, on 19.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\ISTsvc\istsvc.exe C:\Program Files\SurfAccuracy\SAcc.exe C:\Program Files\Nikon\NkView6\NkvMon.exe C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Microsoft Office\Office\WINWORD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\Tobias\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112695392596 O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{27B13786-0473-4D20-ADCB-6BE74ACEBF46}: NameServer = 195.71.210.135 193.189.244.205 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) |
|
|
||
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe
PC neustarten
bitte abarbeiten
http://virus-protect.org/tds.html
Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage raus
einzeln reinkopierendann öffnet sich der Editor)
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina
rund um die PC-Sicherheit