Trojanische Pferd TR/LowZones.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
31.03.2005, 11:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#76 Hallo@BadTouch

Fixe mit dem HijackThis:
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

neustarten

Im HJT-Log ist nichts weiter zu sehen, wahrscheinlich hast du schon gescannt und geloescht.

---------------------------------------------------------------------------------------

Allerdings hast du noch ueberhaupt keine WindowsUpdates gemacht und wirst so bei uns "Dauerkunde" werden.
http://virus-protect.org/
wenn du auf meiner Seite nach unten scrollst, findest du verschiedene Onlinescans--> mach sie alle ;)

Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

[A] Installation über Windows Update (Internet)

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

Installation von CD
1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2005, 12:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#77 Hallo@Nob


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe

PC neustarten--> in den abgesicherten MODUS
http://www.tu-berlin.de/www/software/virus/savemode.shtml
loesche:
D:\WINDOWS\System32\msnupdate.exe
C:\UNMT.EXE

D:\WINDOWS\System32\outlookupdate3778.exe
D:\WINDOWS\System32\outlookupdate 3779.exe
D:\rell.REG
D:\mtu.bat
D:\re12.reg
D:\re11.reg
D:\WINDOWS\System32\msnupdate.exe
C:\UNMT.EXE
D:\UNMT.EXE (??)
D:\WINDOWS\System32\mspd.exe

-------------------------------------------------------------
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:[/u]

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und poste auch das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2005, 16:38
...neu hier

Beiträge: 2
#78 Hallo@SABINA,

vielen dank für die schnelle Reaktion. habe alles versucht so zu machen, wie Du es mir geschrieben hast.


System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.

File System Found infected by "XXXToolbar Spyware/Adware" Virus. Action Taken: No Action Taken.

System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.

File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.

File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\Temp\a5JwW4.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\85M3KD6N\a579a174[1].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\8HMJS9AN\0006_adult[1].cab infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\KTW3SNKZ\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\KTW3SNKZ\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\MPGDCJYN\a579a174[2].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\MPGDCJYN\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File D:\DOKUME~1\Norbert\LOKALE~1\TEMPOR~1\Content.IE5\MPGDCJYN\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{1F6442A7-0960-4358-8628-C30DFDA50A1B}\RP6\A0001389.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000001.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000002.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000134.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000135.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000160.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000161.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000181.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000182.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000183.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000184.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000185.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{BB5E0D22-FE19-41B7-BA65-625586D89AA1}\RP1\A0000186.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temp\a5JwW4.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85M3KD6N\a579a174[1].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken.
File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HMJS9AN\0006_adult[1].cab infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Take
File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\a579a174[2].js infected by "Trojan-Downloader.JS.Small.aq" Virus. Action Taken: No Action Taken.

=> File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\deds2[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MPGDCJYN\gamma[1].exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
D:\Programme\AVPersonal\INFECTED\*.*

File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\56AB4D4A.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\5B2B0F37.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\74690369.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\746D2D65.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File E:\Programme\Norton SystemWorks\Norton AntiVirus\Quarantine\78D24A45.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.


Hier das neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:33:39, on 31.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
D:\Programme\KODAK\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\GEARSec.exe
D:\WINDOWS\system32\drivers\KodakCCS.exe
E:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
E:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
D:\WINDOWS\System32\pctspk.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\snmp.exe
E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] E:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [HBRemind] D:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "E:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Office10\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107435859116
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.199.19.44/activex/AxisCamControl.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\System32\GEARSec.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - D:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: PCtel speaker phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\System32\pctspk.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



Vielen Dank Nob
Seitenanfang Seitenende
01.04.2005, 00:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#79 Hallo@Nob

Deaktivieren Wiederherstellung

«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Loesche:

D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temp\a5JwW4.exe

D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85M3KD6N\a579a174[1].js

D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\deds2[1].exe

D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTW3SNKZ\gamma[1].exe

D:\Dokumente und Einstellungen\Norbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HMJS9AN\0006_adult[1].cab

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2005, 00:34
...neu hier

Beiträge: 3
#80 Hallo , habe auch diesen Trojaner lowzones auf dem pc. Habe mit antivir schon gescannt aber da kommt dann nur dass infizierte sytemdateien nicht gelöscht werden. habe dieses hijackthis runtergeladen und gescanntweiß jetzt aber nicht weiter. kann mir bitte jemand helfen. kenne mich nicht wirklich aus. vielen dank.

ciao silke
Seitenanfang Seitenende
01.04.2005, 00:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#81 Hallo@silke0505

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2005, 01:14
...neu hier

Beiträge: 3
#82 Hallo sabina

danke für die schnelle antwort . das hier kam dabei heraus

Logfile of HijackThis v1.99.1
Scan saved at 01:12:29, on 01.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Silke\Eigene Dateien\Silke\Programme\ICON.EXE
C:\Programme\ComCenter\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\MSN\MSNCoreFiles\MSN6.EXE
C:\Programme\ICQ\ICQ.exe
C:\Dokumente und Einstellungen\Silke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=155214
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=155214
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho13.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Windows DDE Loader] windde32.exe
O4 - HKLM\..\Run: [Dynamic Dns Binary] cmd16.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows DDE Loader] windde32.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System CPL manager] yheqapo.exe
O4 - HKCU\..\Run: [Windows DDE Loader] windde32.exe
O4 - HKCU\..\RunServices: [Windows DDE Loader] windde32.exe
O4 - Startup: ISDNWatch Filter.lnk = C:\Programme\ComCenter\IwFilter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: 3 Mega Digital Camera Monitor.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\ComCenter\IWatch.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind13.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{348F7656-95DA-4B16-AD50-39B85EDB9B22}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B60E657F-89E2-4BF4-BF62-6125AC163483}: NameServer = 195.71.150.179 193.189.244.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{348F7656-95DA-4B16-AD50-39B85EDB9B22}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS3\Services\Tcpip\..\{348F7656-95DA-4B16-AD50-39B85EDB9B22}: NameServer = 192.168.121.252,192.168.121.253
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WinLogin (winlogin) - Unknown owner - C:\WINDOWS\System32\winlogin.exe" -service (file missing)
O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)


kannst du mir da weiter helfen? lieben dank
Seitenanfang Seitenende
01.04.2005, 11:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#83 Hallo@silke0505

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (Dann aktiviere sie wieder)

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt

winmdgr (Microsoft Service Manager)
winpnp32 (Windows 32-bit PnP Driver )
WinLogin

aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
---------------------------------------------------------------------------

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

winlogin

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

das machst du auch mit:

winmdgr
winpnp32


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=155214
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=155214
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho13.dll (file missing)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Windows DDE Loader] windde32.exe
O4 - HKLM\..\Run: [Dynamic Dns Binary] cmd16.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [Windows DDE Loader] windde32.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe
O4 - HKCU\..\Run: [System CPL manager] yheqapo.exe
O4 - HKCU\..\Run: [Windows DDE Loader] windde32.exe
O4 - HKCU\..\RunServices: [Windows DDE Loader] windde32.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind13.dll
O23 - Service: WinLogin (winlogin) - Unknown owner - C:\WINDOWS\System32\winlogin.exe" -service (file missing)<<--AGOBOT-IX WORM!
O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe<--WORM_RBOT.AXU
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)<--W32.Wallz worm/"Net-Worm.Win32.Small.b" Virus

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\outlookupdate3778.exe
C:\WINDOWS\System32\outlookupdate 3779.exe
C:\rell.REG
C:\mtu.bat
C:\re12.reg
C:\re11.reg
C:\WINDOWS\System32\msnupdate.exe
C:\UNMT.EXE
C:\WINDOWS\System32\mspd.exe
C:\WINDOWS\System32\winpnp32.exe
C:\WINDOWS\winsvcmgr.exe
C:\WINDOWS\System32\HAXDRV.SYS
C:\WINDOWS\System32\winlogin.exe
C:\WINDOWS\Debug\dcpromo.log
C:\WINDOWS\SYSTEM32\windde32.exe
C:\WINDOWS\SYSTEM32\cmd16.exe
C:\WINDOWS\SYSTEM32\userinit32.exe
C:\Programme\ISTbar\istbar.dll
C:\Programme\SideFind\sfbho13.dll
C:\WINDOWS\SYSTEM32\yheqapo.exe

PC neustarten

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

•Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/agobtgui.com

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
----------------------------------------------------------------------------

L2mfix
1. Laden Sie L2mfix von hier :
2.
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
13. Dies stellt die Winlogon Standardeinstellungen wieder her.
14. Posten Sie einen aktuellen HijackThis Log

________________________________________________________________-
WORM_RBOT.AXU
O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe

C:\WINDOWS\winsvcmgr.exe
C:\WINDOWS\System32\HAXDRV.SYS
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AXU
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2005, 16:44
...neu hier

Beiträge: 3
#84 hallo sabina,

erstmal danke für die hilfe hatte das jetzt gerade reinkopiert und nun das ergebnis :

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winlogin" 01.04.2005 16:37:07

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN\0000]
"Service"="winlogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINLOGIN\0000]
"DeviceDesc"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlogin]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlogin]
"DisplayName"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlogin\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN\0000]
"Service"="winlogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINLOGIN\0000]
"DeviceDesc"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin]
"DisplayName"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winlogin\Enum]
"0"="Root\\LEGACY_WINLOGIN\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN\0000]
"Service"="winlogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINLOGIN\0000]
"DeviceDesc"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlogin]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlogin]
"DisplayName"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winlogin\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN\0000]
"Service"="winlogin"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOGIN\0000]
"DeviceDesc"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin]
"DisplayName"="WinLogin"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogin\Enum]
"0"="Root\\LEGACY_WINLOGIN\\0000"


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winmdgr" 01.04.2005 16:39:30

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000]
"Service"="winmdgr"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINMDGR\0000\Control]
"ActiveService"="winmdgr"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmdgr\Enum]
"0"="Root\\LEGACY_WINMDGR\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINMDGR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINMDGR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINMDGR\0000]
"Service"="winmdgr"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmdgr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmdgr\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000]
"Service"="winmdgr"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINMDGR\0000\Control]
"ActiveService"="winmdgr"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmdgr\Enum]
"0"="Root\\LEGACY_WINMDGR\\0000"



REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winpnp32" 01.04.2005 16:40:18

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINPNP32\0000]
"Service"="winpnp32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winpnp32\Enum]
"0"="Root\\LEGACY_WINPNP32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINPNP32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINPNP32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINPNP32\0000]
"Service"="winpnp32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winpnp32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winpnp32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINPNP32\0000]
"Service"="winpnp32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpnp32\Enum]
"0"="Root\\LEGACY_WINPNP32\\0000"


mache jetzt weiter mir dem hijackthis. Lieben dank,. silke
Seitenanfang Seitenende
02.04.2005, 15:32
Member

Beiträge: 11
#85 @ Sabina:

So habe meinen PC jetzt wieder und direkt HiJackThis laufen lassen.
Hoffe ist alles ok.

Logfile of HijackThis v1.99.1
Scan saved at 15:31:24, on 02.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\op3r4\opera.exe
D:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [hafctaz] c:\windows\hafctaz.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

grEEtz j4m4ik4
Seitenanfang Seitenende
02.04.2005, 21:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#86 Hallo@j4m4ik4

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [hafctaz] c:\windows\hafctaz.exe

neustarten

loeschen
c:\programme\180solutions\sais.exe
c:\windows\hafctaz.exe
c:\programme\180solutions\

deinstalliere den Antivirus und lade neu:

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

mache einen Komplettscann und poste mir den Report vom Scann ,

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2005, 15:25
Member

Beiträge: 11
#87 Log von AntiVir:

Start des Suchlaufs: Sonntag, 3. April 2005 15:00

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\FaC\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommonName.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchToolband.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MySearch.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MySearch1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MySearch2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MySearch3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MySearch4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MySearch5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MyWayMyBar.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MyWayMyBar1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MyWayMyBar2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MyWayMyBar3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
sam
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
security
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


D:\mIRC
nnscript38.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ACCESS_VIOLATION EIP = 01318EF4
D:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Sonntag, 3. April 2005 15:21
Benötigte Zeit: 20:03 min


4320 Verzeichnisse wurden durchsucht
42775 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

EDIT: AdAware Log nach dem 2 Scann:

Ad-Aware SE Build 1.05
Logfile Created on:Sonntag, 3. April 2005 16:02:07
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R36 01.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
180Solutions(TAC index:6):1 total references
DyFuCA(TAC index:3):2 total references
Tracking Cookie(TAC index:3):11 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


03.04.2005 16:02:07 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 416
ThreadCreationTime : 03.04.2005 14:00:29
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 472
ThreadCreationTime : 03.04.2005 14:00:31
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 496
ThreadCreationTime : 03.04.2005 14:00:31
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 540
ThreadCreationTime : 03.04.2005 14:00:32
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 552
ThreadCreationTime : 03.04.2005 14:00:32
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 696
ThreadCreationTime : 03.04.2005 14:00:32
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 756
ThreadCreationTime : 03.04.2005 14:00:32
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 820
ThreadCreationTime : 03.04.2005 14:00:32
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 876
ThreadCreationTime : 03.04.2005 14:00:32
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 916
ThreadCreationTime : 03.04.2005 14:00:33
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [lexbces.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1108
ThreadCreationTime : 03.04.2005 14:00:33
BasePriority : Normal
FileVersion : 5,13,00,00
ProductVersion : 5,13,00,00
ProductName : MarkVision for Windows (32 bit)
CompanyName : Lexmark International, Inc.
FileDescription : LexBce Service
InternalName : LexBce Service
LegalCopyright : (C) 1993 - 2000 Lexmark International, Inc.
OriginalFilename : LexBceS.exe

#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1132
ThreadCreationTime : 03.04.2005 14:00:33
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:13 [avwupsrv.exe]
FilePath : D:\Programme\
ProcessID : 1232
ThreadCreationTime : 03.04.2005 14:00:34
BasePriority : Normal


#:14 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1324
ThreadCreationTime : 03.04.2005 14:00:34
BasePriority : Normal
FileVersion : 6.14.10.6177
ProductVersion : 6.14.10.6177
ProductName : NVIDIA Driver Helper Service, Version 61.77
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 61.77
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:15 [pctspk.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1340
ThreadCreationTime : 03.04.2005 14:00:34
BasePriority : Normal
FileVersion : 4.00
ProductVersion : 4.00
ProductName : PCTSPK.EXE
CompanyName : PCtel, Inc.
FileDescription : PCTSPK.EXE
InternalName : PCTSPK.EXE
LegalCopyright : Copyright (C)PCtel,Inc. 1999-2000
OriginalFilename : PCTSPK.EXE

#:16 [wdfmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1416
ThreadCreationTime : 03.04.2005 14:00:34
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:17 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1836
ThreadCreationTime : 03.04.2005 14:00:36
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:18 [wscntfy.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 180
ThreadCreationTime : 03.04.2005 14:00:37
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Security Center Notification App
InternalName : wscntfy.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : wscntfy.exe

#:19 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 704
ThreadCreationTime : 03.04.2005 14:00:40
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:20 [ad-aware.exe]
FilePath : D:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 1916
ThreadCreationTime : 03.04.2005 14:01:57
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@mediaplex[1].txt
Category : Data Miner
Comment : Hits:8
Value : Cookie:fac@mediaplex.com/
Expires : 22.06.2009 02:00:00
LastSync : Hits:8
UseCount : 0
Hits : 8

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@0[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:fac@jinternetoptimizer.cjt1.net/HTM/587/0
Expires : 28.03.2006 15:45:12
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@doubleclick[1].txt
Category : Data Miner
Comment : Hits:18
Value : Cookie:fac@doubleclick.net/
Expires : 27.03.2008 18:13:50
LastSync : Hits:18
UseCount : 0
Hits : 18

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@2o7[1].txt
Category : Data Miner
Comment : Hits:9
Value : Cookie:fac@2o7.net/
Expires : 01.04.2010 14:36:42
LastSync : Hits:9
UseCount : 0
Hits : 9

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@revenue[1].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:fac@revenue.net/
Expires : 10.06.2022 07:05:42
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@S111319[1].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:fac@statse.webtrendslive.com/S111319
Expires : 31.12.2020 10:00:00
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@as1.falkag[1].txt
Category : Data Miner
Comment : Hits:10
Value : Cookie:fac@as1.falkag.de/
Expires : 02.05.2005 15:37:50
LastSync : Hits:10
UseCount : 0
Hits : 10

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@server.iad.liveperson[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:fac@server.iad.liveperson.net/
Expires : 29.03.2006 17:12:38
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@dcsgcxwngpifwznfzlmv83o6w_5w4m[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:fac@statse.webtrendslive.com/dcsgcxwngpifwznfzlmv83o6w_5w4m
Expires : 27.03.2015 18:49:40
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@xxxtoolbar[1].txt
Category : Data Miner
Comment : Hits:9
Value : Cookie:fac@xxxtoolbar.com/
Expires : 27.04.2005 19:01:14
LastSync : Hits:9
UseCount : 0
Hits : 9

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : fac@atdmt[2].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:fac@atdmt.com/
Expires : 27.03.2010 02:00:00
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 11
Objects found so far: 11



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

DyFuCA Object Recognized!
Type : File
Data : A0100361.exe
Category : Malware
Comment :
Object : C:\System Volume Information\_restore{25BF8D99-EE34-43FD-AFB5-32C78CFBB0C0}\RP158\
FileVersion : 1, 1, 0, 2
ProductVersion : 1, 1, 0, 2
ProductName : PowerScan v1.1
FileDescription : PowerScan v1.1
InternalName : PowerScan v1.1
LegalCopyright : Copyright (C) 2004
OriginalFilename : Power-Scan.exe


DyFuCA Object Recognized!
Type : File
Data : A0100362.dll
Category : Malware
Comment :
Object : C:\System Volume Information\_restore{25BF8D99-EE34-43FD-AFB5-32C78CFBB0C0}\RP158\
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : SideFind Module
CompanyName : IST
FileDescription : SideFind Module
InternalName : SideFind
LegalCopyright : Copyright 2004
OriginalFilename : SideFind.DLL


180Solutions Object Recognized!
Type : File
Data : A0100364.exe
Category : Data Miner
Comment :
Object : C:\System Volume Information\_restore{25BF8D99-EE34-43FD-AFB5-32C78CFBB0C0}\RP158\
FileVersion : 1, 0, 0, 30
ProductVersion : 1, 0, 0, 30
FileDescription : OfferAgent
LegalCopyright : Copyright (C) 2004


Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 14


Deep scanning and examining files (D;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 14


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 14




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 14

16:11:12 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:09:05.516
Objects scanned:117805
Objects identified:14
Objects ignored:0
New critical objects:14
Dieser Beitrag wurde am 03.04.2005 um 16:14 Uhr von j4m4ik4 editiert.
Seitenanfang Seitenende
03.04.2005, 21:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#88 Hallo@j4m4ik4

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

•Online-Scann (Panda)--> poste mir, was angezeigt wurde
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

nun poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2005, 21:48
Member

Beiträge: 11
#89 Habe beim Inet Explorer alles gemacht wie du es gesagt hast, aber das Prog findet den Opera Ordner nicht. ( Ordner ist in Programmen )
Benutze hauptsächlich Opera.
Wie kann ich das Problem lösen?

grEEtz j4m4ik4
Seitenanfang Seitenende
03.04.2005, 21:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: