Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
31.03.2005, 11:55
Ehrenmitglied
Beiträge: 29434 |
||
|
||
31.03.2005, 12:05
Ehrenmitglied
Beiträge: 29434 |
#77
Hallo@Nob
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe PC neustarten--> in den abgesicherten MODUS http://www.tu-berlin.de/www/software/virus/savemode.shtml loesche: D:\WINDOWS\System32\msnupdate.exe C:\UNMT.EXE D:\WINDOWS\System32\outlookupdate3778.exe D:\WINDOWS\System32\outlookupdate 3779.exe D:\rell.REG D:\mtu.bat D:\re12.reg D:\re11.reg D:\WINDOWS\System32\msnupdate.exe C:\UNMT.EXE D:\UNMT.EXE (??) D:\WINDOWS\System32\mspd.exe ------------------------------------------------------------- •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus:[/u] •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und poste auch das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.03.2005, 16:38
...neu hier
Beiträge: 2 |
#78
Hallo@SABINA,
vielen dank für die schnelle Reaktion. habe alles versucht so zu machen, wie Du es mir geschrieben hast. System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken. File System Found infected by "XXXToolbar Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken. File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\Temp\a5JwW4.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\85M3KD6N\a579a174[1].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\8HMJS9AN\0006_adult[1].cab infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\KTW3SNKZ\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\KTW3SNKZ\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\MPGDCJYN\a579a174[2].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\MPGDCJYN\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\MPGDCJYN\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. C:\System Volume Information\_restore{1F6442A7-0960-4358-8628-C30DFDA50A1B}\RP6\A0001389.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000001.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000002.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000134.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000135.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000160.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000161.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000181.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000182.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000183.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000184.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000185.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000186.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temp\a5JwW4.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85M3KD6N\a579a174[1].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken. File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HMJS9AN\0006_adult[1].cab infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Take File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\a579a174[2].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken. => File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. D:\Programme\AVPersonal\INFECTED\*.* File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\56AB4D4A.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\5B2B0F37.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\74690369.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\746D2D65.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\78D24A45.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken. Hier das neue Log: Logfile of HijackThis v1.99.1 Scan saved at 16:33:39, on 31.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe D:\Programme\KODAK\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINDOWS\System32\GEARSec.exe D:\WINDOWS\system32\drivers\KodakCCS.exe E:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe E:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe E:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE D:\WINDOWS\System32\pctspk.exe D:\WINDOWS\System32\tcpsvcs.exe D:\WINDOWS\System32\snmp.exe E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe D:\Programme\Internet Explorer\iexplore.exe D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Norton Ghost 9.0] E:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [HBRemind] D:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe O4 - HKCU\..\Run: [Norton SystemWorks] "E:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Kodak software updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office10\EXCEL.EXE/3000 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107435859116 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.199.19.44/activex/AxisCamControl.cab O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\System32\GEARSec.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - D:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: PCtel speaker phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\System32\pctspk.exe O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Vielen Dank Nob |
|
|
||
01.04.2005, 00:15
Ehrenmitglied
Beiträge: 29434 |
#79
Hallo@Nob
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Loesche: D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temp\a5JwW4.exe D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85M3KD6N\a579a174[1].js D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\deds2[1].exe D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\gamma[1].exe D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HMJS9AN\0006_adult[1].cab #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2005, 00:34
...neu hier
Beiträge: 3 |
#80
Hallo , habe auch diesen Trojaner lowzones auf dem pc. Habe mit antivir schon gescannt aber da kommt dann nur dass infizierte sytemdateien nicht gelöscht werden. habe dieses hijackthis runtergeladen und gescanntweiß jetzt aber nicht weiter. kann mir bitte jemand helfen. kenne mich nicht wirklich aus. vielen dank.
ciao silke |
|
|
||
01.04.2005, 00:55
Ehrenmitglied
Beiträge: 29434 |
#81
Hallo@silke0505
HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2005, 01:14
...neu hier
Beiträge: 3 |
#82
Hallo sabina
danke für die schnelle antwort . das hier kam dabei heraus Logfile of HijackThis v1.99.1 Scan saved at 01:12:29, on 01.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Progra~1\Launch Manager\LaunchAp.exe C:\Progra~1\Launch Manager\HotkeyApp.exe C:\Programme\Winamp\Winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Silke\Eigene Dateien\Silke\Programme\ICON.EXE C:\Programme\ComCenter\IWatch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\MSN\MSNCoreFiles\MSN6.EXE C:\Programme\ICQ\ICQ.exe C:\Dokumente und Einstellungen\Silke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=155214 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=155214 F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho13.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Windows DDE Loader] windde32.exe O4 - HKLM\..\Run: [Dynamic Dns Binary] cmd16.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Windows DDE Loader] windde32.exe O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [System CPL manager] yheqapo.exe O4 - HKCU\..\Run: [Windows DDE Loader] windde32.exe O4 - HKCU\..\RunServices: [Windows DDE Loader] windde32.exe O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\ComCenter\IwFilter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: 3 Mega Digital Camera Monitor.lnk = ? O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind13.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{348F7656-95DA-4B16-AD50-39B85EDB9B22}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{B60E657F-89E2-4BF4-BF62-6125AC163483}: NameServer = 195.71.150.179 193.189.244.205 O17 - HKLM\System\CS2\Services\Tcpip\..\{348F7656-95DA-4B16-AD50-39B85EDB9B22}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CS3\Services\Tcpip\..\{348F7656-95DA-4B16-AD50-39B85EDB9B22}: NameServer = 192.168.121.252,192.168.121.253 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: WinLogin (winlogin) - Unknown owner - C:\WINDOWS\System32\winlogin.exe" -service (file missing) O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing) kannst du mir da weiter helfen? lieben dank |
|
|
||
01.04.2005, 11:52
Ehrenmitglied
Beiträge: 29434 |
#83
Hallo@silke0505
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (Dann aktiviere sie wieder) Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt winmdgr (Microsoft Service Manager) winpnp32 (Windows 32-bit PnP Driver ) WinLogin aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der " " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. --------------------------------------------------------------------------- •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: winlogin Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das machst du auch mit: winmdgr winpnp32 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=155214 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=155214 F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho13.dll (file missing) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [Windows DDE Loader] windde32.exe O4 - HKLM\..\Run: [Dynamic Dns Binary] cmd16.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [Windows DDE Loader] windde32.exe O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe O4 - HKCU\..\Run: [System CPL manager] yheqapo.exe O4 - HKCU\..\Run: [Windows DDE Loader] windde32.exe O4 - HKCU\..\RunServices: [Windows DDE Loader] windde32.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind13.dll O23 - Service: WinLogin (winlogin) - Unknown owner - C:\WINDOWS\System32\winlogin.exe" -service (file missing)<<--AGOBOT-IX WORM! O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe<--WORM_RBOT.AXU O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)<--W32.Wallz worm/"Net-Worm.Win32.Small.b" Virus PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\outlookupdate3778.exe C:\WINDOWS\System32\outlookupdate 3779.exe C:\rell.REG C:\mtu.bat C:\re12.reg C:\re11.reg C:\WINDOWS\System32\msnupdate.exe C:\UNMT.EXE C:\WINDOWS\System32\mspd.exe C:\WINDOWS\System32\winpnp32.exe C:\WINDOWS\winsvcmgr.exe C:\WINDOWS\System32\HAXDRV.SYS C:\WINDOWS\System32\winlogin.exe C:\WINDOWS\Debug\dcpromo.log C:\WINDOWS\SYSTEM32\windde32.exe C:\WINDOWS\SYSTEM32\cmd16.exe C:\WINDOWS\SYSTEM32\userinit32.exe C:\Programme\ISTbar\istbar.dll C:\Programme\SideFind\sfbho13.dll C:\WINDOWS\SYSTEM32\yheqapo.exe PC neustarten <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open •Desinfektion von W32/Agobot Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen) http://bilder.informationsarchiv.net/Nikitas_Tools/agobtgui.com •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten ---------------------------------------------------------------------------- L2mfix 1. Laden Sie L2mfix von hier : 2. http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe 3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. 4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. 5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix 6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. 7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V. WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter]. 9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. 10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. 11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! 12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. 13. Dies stellt die Winlogon Standardeinstellungen wieder her. 14. Posten Sie einen aktuellen HijackThis Log ________________________________________________________________- WORM_RBOT.AXU O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe C:\WINDOWS\winsvcmgr.exe C:\WINDOWS\System32\HAXDRV.SYS http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AXU __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.04.2005, 16:44
...neu hier
Beiträge: 3 |
#84
hallo sabina,
erstmal danke für die hilfe hatte das jetzt gerade reinkopiert und nun das ergebnis : REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "winlogin" 01.04.2005 16:37:07 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN\0000] "Service"="winlogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN\0000] "DeviceDesc"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlogin] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlogin] "DisplayName"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlogin\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN\0000] "Service"="winlogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN\0000] "DeviceDesc"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin] "DisplayName"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin\Enum] "0"="Root\\LEGACY_WINLOGIN\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN\0000] "Service"="winlogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN\0000] "DeviceDesc"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlogin] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlogin] "DisplayName"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlogin\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN\0000] "Service"="winlogin" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN\0000] "DeviceDesc"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin] "DisplayName"="WinLogin" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin\Enum] "0"="Root\\LEGACY_WINLOGIN\\0000" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "winmdgr" 01.04.2005 16:39:30 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000] "Service"="winmdgr" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000\Control] "ActiveService"="winmdgr" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr\Enum] "0"="Root\\LEGACY_WINMDGR\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINMDGR] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINMDGR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINMDGR\0000] "Service"="winmdgr" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmdgr] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmdgr\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000] "Service"="winmdgr" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000\Control] "ActiveService"="winmdgr" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr\Enum] "0"="Root\\LEGACY_WINMDGR\\0000" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "winpnp32" 01.04.2005 16:40:18 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32\0000] "Service"="winpnp32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32\Enum] "0"="Root\\LEGACY_WINPNP32\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINPNP32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINPNP32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINPNP32\0000] "Service"="winpnp32" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winpnp32] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winpnp32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32\0000] "Service"="winpnp32" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Enum] "0"="Root\\LEGACY_WINPNP32\\0000" mache jetzt weiter mir dem hijackthis. Lieben dank,. silke |
|
|
||
02.04.2005, 15:32
Member
Beiträge: 11 |
#85
@ Sabina:
So habe meinen PC jetzt wieder und direkt HiJackThis laufen lassen. Hoffe ist alles ok. Logfile of HijackThis v1.99.1 Scan saved at 15:31:24, on 02.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programme\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE D:\op3r4\opera.exe D:\Programme\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [hafctaz] c:\windows\hafctaz.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe grEEtz j4m4ik4 |
|
|
||
02.04.2005, 21:54
Ehrenmitglied
Beiträge: 29434 |
#86
Hallo@j4m4ik4
Fixe mit dem HijackThis: O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [hafctaz] c:\windows\hafctaz.exe neustarten loeschen c:\programme\180solutions\sais.exe c:\windows\hafctaz.exe c:\programme\180solutions\ deinstalliere den Antivirus und lade neu: •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien mache einen Komplettscann und poste mir den Report vom Scann , #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.04.2005, 15:25
Member
Beiträge: 11 |
#87
Log von AntiVir:
Start des Suchlaufs: Sonntag, 3. April 2005 15:00 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk D: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\FaC\Anwendungsdaten\Spybot - Search & Destroy\Recovery AlexaRelated.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Altnet.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Altnet1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Altnet2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Altnet3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Altnet4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Altnet5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CommonName.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchToolband.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MySearch.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MySearch1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MySearch2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MySearch3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MySearch4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MySearch5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MyWayMyBar.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MyWayMyBar1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MyWayMyBar2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt MyWayMyBar3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! sam Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! security Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! D:\mIRC nnscript38.exe ArchiveType: RAR SFX (self extracting) Interner Fehler bei Entpackroutine; ERROR: ACCESS_VIOLATION EIP = 01318EF4 D:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information Ende des Suchlaufs: Sonntag, 3. April 2005 15:21 Benötigte Zeit: 20:03 min 4320 Verzeichnisse wurden durchsucht 42775 Dateien wurden geprüft 6 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden EDIT: AdAware Log nach dem 2 Scann: Ad-Aware SE Build 1.05 Logfile Created on:Sonntag, 3. April 2005 16:02:07 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R36 01.04.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 180Solutions(TAC index:6):1 total references DyFuCA(TAC index:3):2 total references Tracking Cookie(TAC index:3):11 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 03.04.2005 16:02:07 - Scan started. (Full System Scan) Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 416 ThreadCreationTime : 03.04.2005 14:00:29 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 472 ThreadCreationTime : 03.04.2005 14:00:31 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 496 ThreadCreationTime : 03.04.2005 14:00:31 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 540 ThreadCreationTime : 03.04.2005 14:00:32 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 552 ThreadCreationTime : 03.04.2005 14:00:32 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 696 ThreadCreationTime : 03.04.2005 14:00:32 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 756 ThreadCreationTime : 03.04.2005 14:00:32 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 820 ThreadCreationTime : 03.04.2005 14:00:32 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 876 ThreadCreationTime : 03.04.2005 14:00:32 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 916 ThreadCreationTime : 03.04.2005 14:00:33 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [lexbces.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1108 ThreadCreationTime : 03.04.2005 14:00:33 BasePriority : Normal FileVersion : 5,13,00,00 ProductVersion : 5,13,00,00 ProductName : MarkVision for Windows (32 bit) CompanyName : Lexmark International, Inc. FileDescription : LexBce Service InternalName : LexBce Service LegalCopyright : (C) 1993 - 2000 Lexmark International, Inc. OriginalFilename : LexBceS.exe #:12 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1132 ThreadCreationTime : 03.04.2005 14:00:33 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:13 [avwupsrv.exe] FilePath : D:\Programme\ ProcessID : 1232 ThreadCreationTime : 03.04.2005 14:00:34 BasePriority : Normal #:14 [nvsvc32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1324 ThreadCreationTime : 03.04.2005 14:00:34 BasePriority : Normal FileVersion : 6.14.10.6177 ProductVersion : 6.14.10.6177 ProductName : NVIDIA Driver Helper Service, Version 61.77 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 61.77 InternalName : NVSVC LegalCopyright : (C) NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:15 [pctspk.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1340 ThreadCreationTime : 03.04.2005 14:00:34 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : PCTSPK.EXE CompanyName : PCtel, Inc. FileDescription : PCTSPK.EXE InternalName : PCTSPK.EXE LegalCopyright : Copyright (C)PCtel,Inc. 1999-2000 OriginalFilename : PCTSPK.EXE #:16 [wdfmgr.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1416 ThreadCreationTime : 03.04.2005 14:00:34 BasePriority : Normal FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act) ProductVersion : 5.2.3790.1230 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows User Mode Driver Manager InternalName : WdfMgr LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : WdfMgr.exe #:17 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1836 ThreadCreationTime : 03.04.2005 14:00:36 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:18 [wscntfy.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 180 ThreadCreationTime : 03.04.2005 14:00:37 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows Security Center Notification App InternalName : wscntfy.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : wscntfy.exe #:19 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 704 ThreadCreationTime : 03.04.2005 14:00:40 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:20 [ad-aware.exe] FilePath : D:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 1916 ThreadCreationTime : 03.04.2005 14:01:57 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@mediaplex[1].txt Category : Data Miner Comment : Hits:8 Value : Cookie:fac@mediaplex.com/ Expires : 22.06.2009 02:00:00 LastSync : Hits:8 UseCount : 0 Hits : 8 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@0[2].txt Category : Data Miner Comment : Hits:2 Value : Cookie:fac@jinternetoptimizer.cjt1.net/HTM/587/0 Expires : 28.03.2006 15:45:12 LastSync : Hits:2 UseCount : 0 Hits : 2 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@doubleclick[1].txt Category : Data Miner Comment : Hits:18 Value : Cookie:fac@doubleclick.net/ Expires : 27.03.2008 18:13:50 LastSync : Hits:18 UseCount : 0 Hits : 18 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@2o7[1].txt Category : Data Miner Comment : Hits:9 Value : Cookie:fac@2o7.net/ Expires : 01.04.2010 14:36:42 LastSync : Hits:9 UseCount : 0 Hits : 9 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@revenue[1].txt Category : Data Miner Comment : Hits:3 Value : Cookie:fac@revenue.net/ Expires : 10.06.2022 07:05:42 LastSync : Hits:3 UseCount : 0 Hits : 3 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@S111319[1].txt Category : Data Miner Comment : Hits:3 Value : Cookie:fac@statse.webtrendslive.com/S111319 Expires : 31.12.2020 10:00:00 LastSync : Hits:3 UseCount : 0 Hits : 3 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@as1.falkag[1].txt Category : Data Miner Comment : Hits:10 Value : Cookie:fac@as1.falkag.de/ Expires : 02.05.2005 15:37:50 LastSync : Hits:10 UseCount : 0 Hits : 10 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@server.iad.liveperson[2].txt Category : Data Miner Comment : Hits:2 Value : Cookie:fac@server.iad.liveperson.net/ Expires : 29.03.2006 17:12:38 LastSync : Hits:2 UseCount : 0 Hits : 2 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@dcsgcxwngpifwznfzlmv83o6w_5w4m[2].txt Category : Data Miner Comment : Hits:2 Value : Cookie:fac@statse.webtrendslive.com/dcsgcxwngpifwznfzlmv83o6w_5w4m Expires : 27.03.2015 18:49:40 LastSync : Hits:2 UseCount : 0 Hits : 2 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@xxxtoolbar[1].txt Category : Data Miner Comment : Hits:9 Value : Cookie:fac@xxxtoolbar.com/ Expires : 27.04.2005 19:01:14 LastSync : Hits:9 UseCount : 0 Hits : 9 Tracking Cookie Object Recognized! Type : IECache Entry Data : fac@atdmt[2].txt Category : Data Miner Comment : Hits:3 Value : Cookie:fac@atdmt.com/ Expires : 27.03.2010 02:00:00 LastSync : Hits:3 UseCount : 0 Hits : 3 Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 11 Objects found so far: 11 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» DyFuCA Object Recognized! Type : File Data : A0100361.exe Category : Malware Comment : Object : C:\System Volume Information\_restore{25BF8D99-EE34-43FD-AFB5-32C78CFBB0C0}\RP158\ FileVersion : 1, 1, 0, 2 ProductVersion : 1, 1, 0, 2 ProductName : PowerScan v1.1 FileDescription : PowerScan v1.1 InternalName : PowerScan v1.1 LegalCopyright : Copyright (C) 2004 OriginalFilename : Power-Scan.exe DyFuCA Object Recognized! Type : File Data : A0100362.dll Category : Malware Comment : Object : C:\System Volume Information\_restore{25BF8D99-EE34-43FD-AFB5-32C78CFBB0C0}\RP158\ FileVersion : 1, 0, 0, 1 ProductVersion : 1, 0, 0, 1 ProductName : SideFind Module CompanyName : IST FileDescription : SideFind Module InternalName : SideFind LegalCopyright : Copyright 2004 OriginalFilename : SideFind.DLL 180Solutions Object Recognized! Type : File Data : A0100364.exe Category : Data Miner Comment : Object : C:\System Volume Information\_restore{25BF8D99-EE34-43FD-AFB5-32C78CFBB0C0}\RP158\ FileVersion : 1, 0, 0, 30 ProductVersion : 1, 0, 0, 30 FileDescription : OfferAgent LegalCopyright : Copyright (C) 2004 Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 14 Deep scanning and examining files (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 14 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 14 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 14 16:11:12 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:09:05.516 Objects scanned:117805 Objects identified:14 Objects ignored:0 New critical objects:14 Dieser Beitrag wurde am 03.04.2005 um 16:14 Uhr von j4m4ik4 editiert.
|
|
|
||
03.04.2005, 21:33
Ehrenmitglied
Beiträge: 29434 |
#88
Hallo@j4m4ik4
#ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner •Online-Scann (Panda)--> poste mir, was angezeigt wurde http://www.pandasoftware.com/activescan/com/activescan_principal.htm nun poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.04.2005, 21:48
Member
Beiträge: 11 |
#89
Habe beim Inet Explorer alles gemacht wie du es gesagt hast, aber das Prog findet den Opera Ordner nicht. ( Ordner ist in Programmen )
Benutze hauptsächlich Opera. Wie kann ich das Problem lösen? grEEtz j4m4ik4 |
|
|
||
03.04.2005, 21:51
Ehrenmitglied
Beiträge: 29434 |
||
|
||
Fixe mit dem HijackThis:
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
neustarten
Im HJT-Log ist nichts weiter zu sehen, wahrscheinlich hast du schon gescannt und geloescht.
---------------------------------------------------------------------------------------
Allerdings hast du noch ueberhaupt keine WindowsUpdates gemacht und wirst so bei uns "Dauerkunde" werden.
http://virus-protect.org/
wenn du auf meiner Seite nach unten scrollst, findest du verschiedene Onlinescans--> mach sie alle
Wie kann ich das Service Pack 2 installieren?
Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.
[A] Installation über Windows Update (Internet)
1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).
2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.
Installation von CD
1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.
Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.
Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina
rund um die PC-Sicherheit