tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.01.2005, 18:47
...neu hier
Beiträge: 1 |
||
|
||
07.01.2005, 23:56
Ehrenmitglied
Beiträge: 29434 |
#227
gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)
suche und loesche. C:\explorer.cab C:\ied_s7.cab Antivirus kann diese Dateien nicht loeschen, weil es gepackte Dateien sind (Winrar) dort musst du suchen. und loeschen: #C:\Windows\Downloaded Programm Files\ -->löschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2005, 00:21
Member
Beiträge: 31 |
#228
Hallo Sabina,
habe mal wieder ungebetene Gäste auf meinem Rechner. Bekomme diese nicht gefixt. Kannst du mir dazu Rat geben. Danke im vorraus. Gruss Beto Logfile of HijackThis v1.99.0 Scan saved at 00:13:44, on 13.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\system32\locator.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINDOWS\System32\alg.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AVPersonal\AVSched32.EXE C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\TVgenial\TVgenial.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\VirtuaWin\VirtuaWin.exe C:\Programme\VirtuaWin\modules\WinList.exe C:\Programme\LevelOne 11g Wireless Adapter\WLANMON.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Langenscheidt T1 5.0\Engine\mte\StdAlone\MT_Alone.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Langenscheidt T1 5.0\Engine\mte\bin\engine.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Langenscheidt T1 5.0\Engine\mte\bin\lexAPI.exe C:\DOKUME~1\Ali\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe" O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: VirtuaWin.lnk = C:\Programme\VirtuaWin\VirtuaWin.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AOL Privacy Protection Service - Unknown - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: McAfee.com Personal Firewall Service - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
13.01.2005, 12:15
Ehrenmitglied
Beiträge: 29434 |
#229
Hallo@Beto
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten Wenn Sie die Seite 'localhost' nicht kennen, sollte der Eintrag entfernt werden. R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx PC neustarten Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" --> New.Net/NEWDOT #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm suche eine dll , die zu : New.Net gehoert, bringe sie von der linken auf die rechte Seite und loesche sie. <"I know what I'm doing" ------------------------------------------------------------------------------------ #eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. Gehe wieder in den Normalmodus mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.01.2005 um 12:19 Uhr von Sabina editiert.
|
|
|
||
17.01.2005, 19:16
Member
Beiträge: 31 |
#230
Hallo Sabina,
erstmal Danke das Du mir wieder hilfst. Bin leider nur bis hier gekommen.... #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm das Tool "I Know what i'm doing" konnte ich nicht über diesen Link finden. |
|
|
||
18.01.2005, 01:57
Ehrenmitglied
Beiträge: 29434 |
#231
http://www.spychecker.com/program/lspfix.html
#LSPfix.exe __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.01.2005 um 01:58 Uhr von Sabina editiert.
|
|
|
||
18.01.2005, 21:17
...neu hier
Beiträge: 2 |
#232
Hallo,
ich habe jetzt einiges vom "Dldr.Small.WV.1" Trojaner gelesen, aber bisher hat mir noch niemand sagen können, WAS genau dieser schädliches tut. würde mich über eine Antwort freuen! gruß tomx992 |
|
|
||
18.01.2005, 21:55
Moderator
Beiträge: 7805 |
#233
Dem Namen nach laedt es etwqas aus dem Internet (=Downloader). Das kann immer Variieren, ist aber immer was boeses.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.01.2005, 22:57
...neu hier
Beiträge: 2 |
#234
Zitat raman posteteah okay, das ist schon mal ein anfang. danke für die rasche antwort. |
|
|
||
19.01.2005, 21:49
Member
Beiträge: 16 |
#235
Hallo @ Sabina!
Ich habe vor einiger Zeit hier im Forum wegen coolsearch Hilfe gesucht. Du hast mir super weitergeholfen, und ich bin das Ding losgeworden. Jetzt wollte ich einem Bekannten helfen, der ein ähnliches Problem hat (nur schlimmer), doch ich komme da leider nicht weiter. Es wäre super nett, wenn Du mal über das Logfile gucken könntest, und mir dann verständlich sagst, was ich machen soll. Vielen Dank im voraus! Hier das Logfile von Hijack: Logfile of HijackThis v1.98.2 Scan saved at 21:17:07, on 19.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\PCLETRAY.EXE C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\IWCTRL.EXE C:\WINDOWS\SYSTEM\KEZ.EXE C:\WINDOWS\ANWENDUNGSDATEN\SOLW.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\TEMP\TD_0004.DIR\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL = http://www.searchnow.ws/search/ R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.crooder.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freehqmovies.com/enter.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.crooder.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.crooder.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.freehqmovies.com/enter.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F1 - win.ini: run=hpfsched O1 - Hosts: 193.125.201.46 thehun.net O1 - Hosts: 193.125.201.46 www.thehun.net O1 - Hosts: 193.125.201.46 thehun.com O1 - Hosts: 193.125.201.46 www.thehun.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {33F93B08-B643-51EA-8753-60550DF27C4F} - C:\WINDOWS\SYSTEM\VWZUTP.DLL (file missing) O2 - BHO: (no name) - {6BF9395C-B512-0BB0-8753-60550DF32947} - C:\WINDOWS\SYSTEM\JRKIRQEV.DLL O2 - BHO: (no name) - {9BBA6DE6-449A-4D69-A294-993124BD4996} - C:\WINDOWS\SYSTEM\GCJM.DLL O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [Cat's Claw] C:\VIRUSC~1\WIN95\Claw95.exe O4 - HKLM\..\Run: [SexNow] C:\WINDOWS\SexNow.exe -n O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\SYSTEM\PSDrvCheck.exe O4 - HKLM\..\Run: [teenxxx] C:\WINDOWS\DIALER\PDIALER.EXE !m O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\Run: [Ibbth] C:\WINDOWS\SYSTEM\kez.exe O4 - HKCU\..\Run: [Ddan] C:\WINDOWS\Anwendungsdaten\solw.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .ica: C:\PROGRA~1\INTERN~1\PLUGINS\NPICAN.DLL O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O18 - Filter: text/html - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL O18 - Filter: text/plain - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL |
|
|
||
19.01.2005, 22:01
Ehrenmitglied
Beiträge: 29434 |
#236
Hallo@badman
«Windows Me http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924 ->>Öffne dafür »Systemsteuerung | System« und wechsel zu »Systemwiederherstellung«. Dort hake dann »Systemwiederherstellung auf allen Laufwerken deaktivieren« ab. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL = http://www.searchnow.ws/search/ R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.crooder.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freehqmovies.com/enter.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.crooder.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.crooder.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.crooder.com/search/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.freehqmovies.com/enter.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 193.125.201.46 thehun.net O1 - Hosts: 193.125.201.46 www.thehun.net O1 - Hosts: 193.125.201.46 thehun.com O1 - Hosts: 193.125.201.46 www.thehun.com O2 - BHO: (no name) - {33F93B08-B643-51EA-8753-60550DF27C4F} - C:\WINDOWS\SYSTEM\VWZUTP.DLL (file missing) O2 - BHO: (no name) - {6BF9395C-B512-0BB0-8753-60550DF32947} - C:\WINDOWS\SYSTEM\JRKIRQEV.DLL O2 - BHO: (no name) - {9BBA6DE6-449A-4D69-A294-993124BD4996} - C:\WINDOWS\SYSTEM\GCJM.DLL O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL (file missing) O4 - HKLM\..\Run: [SexNow] C:\WINDOWS\SexNow.exe -n -->Dialer O4 - HKLM\..\Run: [teenxxx] C:\WINDOWS\DIALER\PDIALER.EXE !m --> Dialer O4 - HKCU\..\Run: [Ibbth] C:\WINDOWS\SYSTEM\kez.exe O4 - HKCU\..\Run: [Ddan] C:\WINDOWS\Anwendungsdaten\solw.exe O18 - Filter: text/html - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL O18 - Filter: text/plain - {50346275-0B1B-437C-9C6A-CD5C49442D5F} - C:\WINDOWS\SYSTEM\GCJM.DLL PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\TEMP\sp.dll C:\WINDOWS\TEMP\sp.dll/sp.html C:\WINDOWS\SYSTEM\GCJM.DLL C:\WINDOWS\SYSTEM\kez.exe C:\WINDOWS\Anwendungsdaten\solw.exe C:\WINDOWS\DIALER\PDIALER.EXE C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL C:\WINDOWS\SexNow.exe C:\WINDOWS\SYSTEM\VWZUTP.DLL C:\WINDOWS\SYSTEM\JRKIRQEV.DLL PC neustarten loeschen temporaere Dateien C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html #Antivirus (free)--> poste mir das Log vom Scann http://www.free-av.de/ [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien #AboutBuster--> updaten-->scannen--> poste mir das Log vom Scann www.malwarebytes.biz/AboutBuster.zip #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 scannen--> neustarten--> noch mal scannen--> poste mir das Log vom Scann CWShredder 2.12 [2004-12-13]--< poste das Log vom Scann http://www.majorgeeks.com/download3019.html #Search&Destroy http://www.safer-networking.org/de/download/index.html Spybot - Search && Destroy process list report,-->bitte abkopieren und posten ------------------------------------------------------------------------------ #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis ------------------ #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.01.2005 um 22:03 Uhr von Sabina editiert.
|
|
|
||
20.01.2005, 14:45
Member
Beiträge: 16 |
#237
Hallo @ Sabina,
vielen Dank für Deine prompte Antwort. Ich bin nach Deiner guten Anleitung vorgegangen, und scheinbar hat es auch geklappt. Das Problem mit dem Hijacking der Startseite ist behoben und auch sonst scheint mir das Log von HijackThis viel sauberer. Anbei habe ich die Logs der verschiedenen Programme gepostet: 1. Reportdatei von Antivir: Erstellungsdatum der Reportdatei: Donnerstag, 20. Januar 2005 13:37 AntiVir®/9x Personal Edition v6.29.00.03 vom 13.12.2004 VDF-Datei v6.29.0.63 (0) vom 14.01.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 95547 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-WURGE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ EMail ___________________________________________ Plattform: Windows 98 Windows-Version: 4.90.3000 Benutzername: Standard Prozessor: Pentium Arbeitsspeicher: 130488 KB frei Guard: aktiv Versionsinformationen: AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58 AVEWIN32.DLL : v6.29.0.7 791040 11.01.2005 15:32:46 SYS_RW16.DLL : v6.19.0 12800 25.10.2004 12:33:28 SYS_RW32.DLL : v6.19.0 16384 25.10.2004 12:33:28 AVGCTRL.EXE : v6.28.00.00 86016 30.09.2004 08:10:40 AVGUARD.VXD : v6.29.0.7 481839 11.01.2005 15:33:06 AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46 AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 08:10:40 AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58 AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 08:10:42 AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:14 AVSched32.DLL : v6.28.00.01 122880 30.09.2004 08:10:42 AVREG.DLL : v6.27.00.01 41000 30.09.2004 08:10:42 AVRep.DLL : v6.29.00.62 868392 14.01.2005 10:59:12 INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:52 INETUPD.DLL : v6.29.00.02 159815 23.11.2004 12:51:52 MFC42.DLL : v6.00.8665.0 995383 08.06.2000 17:00:00 MSVCRT.DLL : v6.10.8637.0 290869 08.06.2000 17:00:00 CTL3D32.DLL : v2.31.000 45056 08.06.2000 17:00:00 CTL3DV2.DLL : v2.31.001 27632 08.06.2000 17:00:00 Konfigurationsdaten: Name der Konfigurationsdatei: C:\PROGRAMME\AVPERSONAL\AVWIN.INI Name der Reportdatei: C:\PROGRAMME\AVPERSONAL\LOGFILES\AVWIN.LOG Startpfad: C:\PROGRAMME\AVPERSONAL Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [ ] Alle Dateien [X] Programmdateien Endungen: .386 .?HTM .?HTML .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MHT* .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PHT* .PIF .PKG .PL* .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\WINDOWS\TEMP [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/9x Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom F: Diskettenlaufwerk Start des Suchlaufs: Donnerstag, 20. Januar 2005 13:37 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 OK Bootsektor von Laufwerk C: OK Ende des Suchlaufs: Donnerstag, 20. Januar 2005 13:43 Benötigte Zeit: 05:33 min 974 Verzeichnisse wurden durchsucht 17385 Dateien wurden geprüft 0 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden --------------------------------------------------------------------------- Hier das Log von About Buster: Scanned at: 13:46:05 on: 20.01.2005 -- Scan 1 --------------------------- About:Buster Version 4.0 Reference List : 19 ADS not scanned System(FAT) Attempted Clean Of Temp folder. Pages Reset... Done! -- Scan 2 --------------------------- About:Buster Version 4.0 Reference List : 19 ADS not scanned System(FAT) Attempted Clean Of Temp folder. Pages Reset... Done! --------------------------------------------------------------------------- Das Log von Ad-aware 6.0: Lavasoft Ad-aware Personal Build 6.181 Logfile created on onnerstag, 20. Januar 2005 13:55:58 Created with Ad-aware Personal, free for private use. Using reference-file :01R298 20.04.2004 ______________________________________________________ Ad-aware Settings ========================= Set : Activate in-depth scan (Recommended) Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep scan registry 20.01.2005 13:55:58 - Scan started. (Smart mode) Listing running processes ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ #:1 [kernel32.dll] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4279180791 Threads : 6 Priority : High FileSize : 540 KB FileVersion : 4.90.3000 ProductVersion : 4.90.3000 Copyright : Copyright (C) Microsoft Corp. 1991-2000 CompanyName : Microsoft Corporation FileDescription : Kernkomponente des Win32-Kernel InternalName : KERNEL32 OriginalFilename : KERNEL32.DLL ProductName : Betriebssystem Microsoft(R) Windows(R) Millennium Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:2 [msgsrv32.exe] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294923151 Threads : 1 Priority : Normal FileSize : 11 KB FileVersion : 4.90.3000 ProductVersion : 4.90.3000 Copyright : Copyright (C) Microsoft Corp. 1992-1998 CompanyName : Microsoft Corporation FileDescription : Windows 32-Bit-VxD-Meldungsserver InternalName : MSGSRV32 OriginalFilename : MSGSRV32.EXE ProductName : Betriebssystem Microsoft(R) Windows(R) Millennium Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:3 [mmtask.tsk] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294947791 Threads : 1 Priority : Normal FileSize : 1 KB FileVersion : 4.90.3000 ProductVersion : 4.90.3000 Copyright : Copyright CompanyName : Microsoft Corporation FileDescription : Multimedia background task support module InternalName : mmtask.tsk OriginalFilename : mmtask.tsk ProductName : Microsoft Windows Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:4 [mprexe.exe] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294946315 Threads : 2 Priority : Normal FileSize : 28 KB FileVersion : 4.90.3000 ProductVersion : 4.90.3000 Copyright : Copyright (C) Microsoft Corp. 1993-2000 CompanyName : Microsoft Corporation FileDescription : WIN32 Network Interface Service Process InternalName : MPREXE OriginalFilename : MPREXE.EXE ProductName : Microsoft(R) Windows(R) Millennium Operating System Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:5 [mstask.exe] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294966963 Threads : 2 Priority : Normal FileSize : 128 KB FileVersion : 4.71.2721.1 ProductVersion : 4.71.2721.1 Copyright : Copyright (C) Microsoft Corp. 1997 CompanyName : Microsoft Corporation FileDescription : Taskplaner-Engine InternalName : TaskScheduler OriginalFilename : mstask.exe ProductName : Taskplaner f Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:6 [ssdpsrv.exe] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294964011 Threads : 4 Priority : Normal FileSize : 54 KB FileVersion : 4.90.3000.1 ProductVersion : 4.90.3000.1 Copyright : Copyright (C) Microsoft Corp. 1981-2000 CompanyName : Microsoft Corporation FileDescription : SSDP Service on Windows Millennium InternalName : ssdpsrv.exe OriginalFilename : ssdpsrv.exe ProductName : Microsoft(R) Windows(R) Millennium Operating System Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:7 [vsmon.exe] FilePath : C:\WINDOWS\SYSTEM\ZONELABS\ ProcessID : 4294854731 Threads : 16 Priority : Normal FileSize : 897 KB FileVersion : 5.1.033.000 ProductVersion : 5.1.033.000 Copyright : Copyright CompanyName : Zone Labs Inc. FileDescription : TrueVector Service InternalName : vsmon OriginalFilename : vsmon.exe ProductName : TrueVector Service Created on : 19.01.2005 20:08:07 Last accessed : 19.01.2005 23:00:00 Last modified : 22.09.2004 19:21:42 #:8 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 4294874523 Threads : 19 Priority : Normal FileSize : 220 KB FileVersion : 5.50.4134.100 ProductVersion : 5.50.4134.100 Copyright : Copyright (C) Microsoft Corp. 1981-2000 CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer OriginalFilename : EXPLORER.EXE ProductName : Betriebssystem Microsoft(R) Windows (R) 2000 Created on : 08.06.2000 16:00:00 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:9 [taskmon.exe] FilePath : C:\WINDOWS\ ProcessID : 4294834891 Threads : 1 Priority : Normal FileSize : 28 KB FileVersion : 4.90.3000 ProductVersion : 4.90.3000 Copyright : Copyright (C) Microsoft Corp. 1998 CompanyName : Microsoft Corporation FileDescription : Task Monitor InternalName : TaskMon OriginalFilename : TASKMON.EXE ProductName : Microsoft(R) Windows(R) Millennium Operating System Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:10 [systray.exe] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294712563 Threads : 2 Priority : Normal FileSize : 36 KB FileVersion : 4.90.3000 ProductVersion : 4.90.3000 Copyright : Copyright (C) Microsoft Corp. 1993-2000 CompanyName : Microsoft Corporation FileDescription : System Tray-Applet InternalName : SYSTRAY OriginalFilename : SYSTRAY.EXE ProductName : Betriebssystem Microsoft(R) Windows(R) Millennium Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:11 [atiptaxx.exe] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294728259 Threads : 1 Priority : Normal FileSize : 184 KB FileVersion : 4.12.2481 ProductVersion : 4.12.2481 Copyright : Copyright (C) 1998-2000 ATI Technologies Inc. CompanyName : ATI Technologies, Inc. FileDescription : ATI Desktop Control Panel InternalName : Atiptaxx.exe OriginalFilename : Atiptaxx.exe ProductName : ATI Desktop Component Created on : 06.02.2001 11:59:11 Last accessed : 19.01.2005 23:00:00 Last modified : 06.11.2000 23:40:06 #:12 [directcd.exe] FilePath : C:\PROGRAMME\ADAPTEC\DIRECTCD\ ProcessID : 4294723635 Threads : 1 Priority : Normal FileSize : 1100 KB FileVersion : 3.01d (177) ProductVersion : 3.01d (177) Copyright : Copyright (c) 1996-2000 Adaptec, Inc. CompanyName : Adaptec FileDescription : DirectCD Application InternalName : DirectCD OriginalFilename : DirectCD.EXE ProductName : DirectCD Created on : 11.03.2003 08:28:31 Last accessed : 19.01.2005 23:00:00 Last modified : 29.06.2000 02:01:00 #:13 [avgctrl.exe] FilePath : C:\PROGRAMME\AVPERSONAL\ ProcessID : 4294731411 Threads : 2 Priority : Normal FileSize : 84 KB FileVersion : 6.28.00.00 ProductVersion : 6.28.00.00 Copyright : Copyright CompanyName : H+BEDV Datentechnik GmbH FileDescription : AntiVir Guard/9x Control Program InternalName : AVGCtrl OriginalFilename : AVGCTRL.EXE ProductName : AntiVir Guard Control Program Created on : 30.09.2004 07:10:40 Last accessed : 19.01.2005 23:00:00 Last modified : 30.09.2004 07:10:40 #:14 [zlclient.exe] FilePath : C:\PROGRAMME\ZONE LABS\ZONEALARM\ ProcessID : 4294757739 Threads : 6 Priority : Normal FileSize : 697 KB FileVersion : 5.1.033.000 ProductVersion : 5.1.033.000 Copyright : Copyright CompanyName : Zone Labs Inc. FileDescription : Zone Labs Client InternalName : zlclient OriginalFilename : zlclient.exe ProductName : Zone Labs Client Created on : 19.01.2005 20:08:11 Last accessed : 19.01.2005 23:00:00 Last modified : 22.09.2004 19:22:32 #:15 [createcd.exe] FilePath : C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\ ProcessID : 4294120879 Threads : 1 Priority : Normal FileSize : 256 KB FileVersion : 4.02d (292) ProductVersion : 4.02d (292) Copyright : Copyright (c) 1996-2000 Adaptec, Inc. CompanyName : Adaptec FileDescription : Adaptec Create CD InternalName : createcd.exe OriginalFilename : createcd.exe ProductName : Easy CD Creator Created on : 11.03.2003 08:27:18 Last accessed : 19.01.2005 23:00:00 Last modified : 30.06.2000 00:38:00 #:16 [reminder.exe] FilePath : C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\ ProcessID : 4294124503 Threads : 1 Priority : Normal FileSize : 36 KB FileVersion : 7.00.2412 ProductVersion : 7.00.2412 Copyright : Copyright (C) Microsoft Corp. 1990-1998. Alle Rechte vorbehalten. CompanyName : Microsoft Corporation FileDescription : Microsoft Money Reminder InternalName : REMINDER OriginalFilename : REMINDER.EXE ProductName : Microsoft Money Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 14.03.1999 23:00:00 #:17 [stmgr.exe] FilePath : C:\WINDOWS\SYSTEM\RESTORE\ ProcessID : 4294153723 Threads : 7 Priority : Normal FileSize : 60 KB FileVersion : 4.90.0.2533 ProductVersion : 4.90.0.2533 Copyright : Copyright (C) Microsoft Corp. 1981-2000 CompanyName : Microsoft Corporation FileDescription : Microsoft (R) PC State Manager InternalName : StateMgr.exe OriginalFilename : StateMgr.exe ProductName : Microsoft (r) PCHealth Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:18 [pcletray.exe] FilePath : C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\ ProcessID : 4294861307 Threads : 1 Priority : Normal FileSize : 729 KB FileVersion : 1.0.0.23 ProductVersion : 1.0.0.0 Copyright : Copyright CompanyName : Pinnacle Systems FileDescription : Tray Starter Created on : 22.10.2003 14:03:50 Last accessed : 19.01.2005 23:00:00 Last modified : 22.10.2003 14:03:50 #:19 [iwctrl.exe] FilePath : C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\ ProcessID : 4294168963 Threads : 3 Priority : Normal FileSize : 1096 KB FileVersion : 4.2.0.54 ProductVersion : 4.0.0.0 Copyright : Copyright 2002-2004 Pinnacle Systems GmbH. CompanyName : Pinnacle Systems GmbH. FileDescription : InstantWrite Control Center InternalName : iwctrl ProductName : InstantWrite Created on : 26.02.2004 14:00:48 Last accessed : 19.01.2005 23:00:00 Last modified : 26.02.2004 14:00:48 #:20 [wkcalrem.exe] FilePath : C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\ ProcessID : 4294124735 Threads : 2 Priority : Normal FileSize : 52 KB FileVersion : 5.00.2004.0 ProductVersion : 5.00.2004.0 CompanyName : Microsoft FileDescription : Microsoft InternalName : WkCalRem OriginalFilename : WKCALREM.EXE ProductName : Microsoft Created on : 06.08.1999 07:53:00 Last accessed : 19.01.2005 23:00:00 Last modified : 06.08.1999 07:53:00 #:21 [wmiexe.exe] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294062459 Threads : 3 Priority : Normal FileSize : 16 KB FileVersion : 4.90.2452.1 ProductVersion : 4.90.2452.1 Copyright : Copyright (C) Microsoft Corp. 1981-1999 CompanyName : Microsoft Corporation FileDescription : WMI service exe housing InternalName : wmiexe OriginalFilename : wmiexe.exe ProductName : Microsoft(R) Windows(R) Millennium Operating System Created on : 01.01.1601 Last accessed : 19.01.2005 23:00:00 Last modified : 08.06.2000 16:00:00 #:22 [ad-aware.exe] FilePath : C:\PROGRAMME\LAVASOFT\AD-AWARE 6\ ProcessID : 4294810927 Threads : 2 Priority : Normal FileSize : 668 KB FileVersion : 6.0.1.181 ProductVersion : 6.0.0.0 Copyright : Copyright CompanyName : Lavasoft Sweden FileDescription : Ad-aware 6 core application InternalName : Ad-aware.exe OriginalFilename : Ad-aware.exe ProductName : Lavasoft Ad-aware Plus Created on : 13.01.2005 17:17:28 Last accessed : 19.01.2005 23:00:00 Last modified : 12.07.2003 20:00:20 Memory scan result : ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 0 Objects found so far: 0 Started registry scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Alexa Object recognized! Type : RegKey Data : Rootkey : HKEY_LOCAL_MACHINE Object : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} Registry scan result : ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 1 Objects found so far: 1 Started deep registry scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css" CoolWebSearch Object recognized! Type : CSS Hijack Data : c:\windows\my.css CSS Hijack : SOFTWARE\Microsoft\Internet Explorer\Styles\c:\windows\my.css Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css" Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css" Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css" Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css" Possible browser hijack attempt : SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css" Deep registry scan result : ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 1 Objects found so far: 2 ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Deep scanning and examining files (C ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Performing conditional scans.. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Conditional scan result: ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 0 Objects found so far: 2 14:01:32 Scan complete Summary of this scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Total scanning time :00:05:32:960 Objects scanned :36973 Objects identified :2 Objects ignored :0 New objects :2 --------------------------------------------------------------------------- und hier das Log von Hijack this: Logfile of HijackThis v1.98.2 Scan saved at 14:04:58, on 20.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\PCLETRAY.EXE C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\IWCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\EIGENE DATEIEN\DANIEL\HIJACK THIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F1 - win.ini: run=hpfsched O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [Cat's Claw] C:\VIRUSC~1\WIN95\Claw95.exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\SYSTEM\PSDrvCheck.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\RunServices: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\RunServices: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\RunServices: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .ica: C:\PROGRA~1\INTERN~1\PLUGINS\NPICAN.DLL O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll --------------------------------------------------------------------------- Bei Search & Destroy und bei CWSHREDDER weiß ich nicht wie man ein Log erstellt, aber ich hoffe die obigen Logs reichen aus. Wäre super nett, wenn Du über die Logs hier auch noch mal gucken könntest, damit ich weiß, ob der Rechner jetzt in Ordnung ist. MfG, badman |
|
|
||
20.01.2005, 15:43
Ehrenmitglied
Beiträge: 29434 |
#238
Hallo@Badman
Suche und loesche: SOFTWARE\Microsoft\Internet Explorer\Styles "c:\windows\my.css" (oder kopiere es in die killbox) c:\windows\my.css dann scanne noch mal mit AdAware und stelle im IE eine Startseite ein + poste auch das Log vom HijackThis noch einmal (mit einer Startseite) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.01.2005 um 15:46 Uhr von Sabina editiert.
|
|
|
||
20.01.2005, 17:45
Member
Beiträge: 31 |
#239
Hallo Sabina,
weiss leider nicht wie ich kavupd.exe (update in dos) mache, wenn du so lieb wärst und mir das auch noch verraten würdest. den Escan im abgesicherten Modus habe ich laufen lassen, und hier sind die Daten die Du von mir haben wolltest............ ( da ich den scan zwei mal gemacht habe könnte es sein das ich es jetzt doppelt gepostet habe) ...........hoffe du kannst damit was anfangen Thu Jan 20 17:01:36 2005 => Total Disinfected Files: 0 Thu Jan 20 11:39:00 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 11:39:11 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 11:55:45 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\dolphinfree.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Thu Jan 20 11:59:14 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\PuritySCAN2.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken. Thu Jan 20 12:16:38 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Thu Jan 20 12:33:06 2005 => File C:\Programme\Gemeinsame Dateien\aol\AOL Privacy Protection\Backup\63396717.asw infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 13:02:23 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032112.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:02:23 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032113.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:02:23 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032116.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:02:25 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-6.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:02:25 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-7.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:02:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032129.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:02:54 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032350.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032401.lnk Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032402.lnk Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032403.lnk Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.1 Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.2 Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.3 Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.4 Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.5 Thu Jan 20 13:03:20 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.6 Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\change.log.7 Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\drivetable.txt Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\RestorePointSize Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\rp.log Thu Jan 20 13:03:21 2005 => Scanning Folder: C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\*.* Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\ComDb.Dat Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\domain.txt Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-1.DAT [**] Thu Jan 20 13:03:21 2005 => Scanning File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-3.DAT Thu Jan 20 13:03:21 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-3.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:16:52 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 13:36:55 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 13:46:45 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 14:05:23 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 14:05:52 2005 => Total Disinfected Files: 0 Thu Jan 20 14:36:46 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 14:36:57 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 14:53:15 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\dolphinfree.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. Thu Jan 20 14:56:55 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\PuritySCAN2.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken. Thu Jan 20 14:56:55 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\PuritySCAN2.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken. Thu Jan 20 15:30:30 2005 => File C:\Programme\Gemeinsame Dateien\aol\AOL Privacy Protection\Backup\63396717.asw infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032112.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032113.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:27 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\A0032116.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:29 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-5.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:29 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-6.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:29 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP103\snapshot\MFEX-7.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:30 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032129.dll infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 15:59:56 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\A0032350.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 16:00:22 2005 => File C:\System Volume Information\_restore{124D1C30-8DA4-4004-A687-AC5CA6EEA73A}\RP104\snapshot\MFEX-3.DAT infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 16:13:29 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 16:32:40 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 16:42:25 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Jan 20 17:01:05 2005 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Jan 20 17:01:36 2005 => Total Disinfected Files: 0 |
|
|
||
20.01.2005, 23:05
...neu hier
Beiträge: 2 |
#240
Hallo Leute,
nach 2 Stunden Studium in diesem Thread, brennen mir schon die Augen vor lauter Hijackthis-logs. Leider hat *TR/Dldr.Small.OR* auch in meiner *Explorer.cab...start7.inf* eingeschlagen und kann gemäß AntiVir nicht entfernt werden (Archiv-Datei, blablabla). Habe aber keine Ahnung, wie man eine Log-Datei von Hijackthis deutet, bin auf dem Gebiet absoluter Neuling. Deshalb wäre ich glücklich, ein Experte aus diesem Forum kann mir weiterhelfen. Also hier die Log-Datei: Logfile of HijackThis v1.99.0 Scan saved at 22:28:15, on 20.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe F:\PROGRAMME\AV\AVGUARD.EXE F:\PROGRAMME\AV\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Fast.exe C:\WINDOWS\System32\wuacrlt.exe C:\WINDOWS\System32\NVATray.exe C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\ahead\InCD\InCD.exe C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\fast.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe F:\programme\quicktime\qttask.exe C:\socks.exe C:\WINDOWS\socks2.exe F:\PROGRAMME\AV\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\System32\wuauclt.exe F:\PROGRAMME\hijack\HijackThis.exe C:\WINDOWS\notepad.exe F:\PROGRAMME\Office2000\Office\WINWORD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.walking-online.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [*windows update] wuacrlt.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\wbdvux.exe O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [TruGEUg] C:\WINDOWS\msjwt.exe O4 - HKLM\..\Run: [nvsv32.exe] nvsv33.exe O4 - HKLM\..\Run: [Windows Online Updater] dllman.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [winmgr.exe] scvhost.exe O4 - HKLM\..\Run: [start uploading] crsss.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe O4 - HKLM\..\Run: [Notepad] notepad.exe O4 - HKLM\..\Run: [NvCplScan] msnmsgr.exe O4 - HKLM\..\Run: [Services] C:\socks.exe O4 - HKLM\..\Run: [Device] C:\WINDOWS\socks2.exe O4 - HKLM\..\Run: [AVGCtrl] "F:\PROGRAMME\AV\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [*windows update] wuacrlt.exe O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe O4 - HKLM\..\RunServices: [start uploading] crsss.exe O4 - HKLM\..\RunServices: [nvsv32.exe] nvsv33.exe O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe O4 - HKLM\..\RunServices: [winmgr.exe] scvhost.exe O4 - HKLM\..\RunServices: [Notepad] notepad.exe O4 - HKLM\..\RunServices: [NvCplScan] msnmsgr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [*windows update] wuacrlt.exe O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\RunServices: [start uploading] crsss.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = F:\PROGRAMME\Office2000\Office\OSA9.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {0006F063-0000-0000-C000-000000000046} (Microsoft Outlook View Control) - file://G:\KAP06\Setup01\outlctlx.cab O16 - DPF: {0468C085-CA5B-11D0-AF08-00609797F0E0} (DataCtl Class) - file://G:\KAP06\Setup01\outlctlx.cab O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?xdat=&url=http://66.117.38.54:80/dexDE505.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/fox/x.chm::/load.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c11.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105401152553 O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BUM_WIN_IE_1/axofupld.cab O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab O21 - SSODL: System - {6A786433-6D61-41A6-9AEA-8240018EEB3B} - C:\WINDOWS\system32\system32.dll O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll (file missing) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\PROGRAMME\AV\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\PROGRAMME\AV\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Anmerkung: Das Service-Pack 2 für Win XP und einige Updates wurden wieder deinstalliert, da die Desktop-Anzeige/Task-Startleiste nicht mehr funktionierten. Danke schon mal im voraus Dieser Beitrag wurde am 21.01.2005 um 01:16 Uhr von Sabina editiert.
|
|
|
||
Auch ich bin ein Neuling hier in Euren tollen Forum. Google hat mich auf der Suche nach unser Aller Freund Tr/dldr.small.or hierher geführt.
Zusätzlich hat mein free-AV nach dem neuesten Update auch noch einen weiteren Vertreter dieser Gattung gefunden, nämlich TR/Dldr.Mediket.K
Hier ein Auszug aus dem Logfle von free-AV:
C:\
explorer.cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ied_s7.cab
ArchiveType: CAB (Microsoft)
--> ied_s7_c_28.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Mediket.K
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
---------------------------------------------------------
Nach ein wenig Lesen hier im Forum, hab ich mir gleich die aktuelle Version von HiJackThis runtergeladen, welches folgendes Logfile ausspuckt:
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\AOL-Downloads\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj5600 - Unknown - C:\DOKUME~1\Friedl\LOKALE~1\Temp\hpdj5600.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung - Unknown - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
-------------------------------------------------------------
Da ich mit diesem Kauderwelsch wie viele meiner Vorredner auch nicht allzuviel anzufangen weiß, hoffe ich jetzt mal auf eine leicht verständliche, nachvollziehbare Hilfe, um den beiden o.g. Kameraden den Garaus machen zu können.
Vielen Dank für Eure Hilfe schon mal vorab.
Gruß Friedl