tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
27.10.2004, 17:02
...neu hier
Beiträge: 6 |
||
|
||
27.10.2004, 17:13
...neu hier
Beiträge: 4 |
#92
Hallo,
habe auch da Problem. Kann mir jemand weiterhelfen ? Hier die Logfile Danke Hauke Logfile of HijackThis v1.98.2 Scan saved at 17:12:29, on 27.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\system32\rundll32.exe C:\WINNT\system32\ctfmon.exe C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\abc\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?0&4& unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown O17 - HKLM\System\CCS\Services\Tcpip\..\{AEFAB768-F49A-4C0C-9E51-6E4644D36A00}: NameServer = 217.237.151.225 217.237.150.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA8AEAD-7616-4187-9E31-31FA2673711A}: NameServer = 192.168.120.252,192.168.120.253 Dieser Beitrag wurde am 27.10.2004 um 17:37 Uhr von Sabina editiert.
|
|
|
||
27.10.2004, 17:31
Ehrenmitglied
Beiträge: 29434 |
#93
Hallo@Hauke.1
Oeffne das HijackThis<scan< hake an<fix< PC neustarten O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl? #deinstalliere: C:\Programme\NewDotNet #LSPfix.exe laden http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm <"I know what I'm doing" bringe die <newdotnet6_38.dll< von der linken auf die rechte Seite und loesche sie. #Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! #NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.rokop-security.de/board/index.php?showtopic=3867 * und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.10.2004 um 17:36 Uhr von Sabina editiert.
|
|
|
||
27.10.2004, 18:56
...neu hier
Beiträge: 6 |
#94
Hallo Sabina
Ich habe im abgesicherten Modus meinen Rechner nochmal mit eScan gescannt und er wurde nicht fündig. Er meldete zwar einen Fund zeigte ihn aber irgendwie nicht an ^^ HIer nochmal die aktuelle HiJachthis Log. hoffe mein Rechner ist nu sauber. Logfile of HijackThis v1.98.2 Scan saved at 18:50:51, on 27.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Programme\PCI Audio Applications\Mixer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE d:\progra~1\mozilla.org\mozilla\mozilla.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\.dreck\Eigene Dateien\hijackthis2\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 Ser*hier nicht!*=DR12CNC-8322248-NFT lang=DE O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - O17 - HKLM\System\CCS\Services\Tcpip\..\{B621D02E-BBC5-47A6-9D63-8DA02A289BDC}: NameServer = 217.237.151.225 217.237.150.225 Danke. gruß Spectre |
|
|
||
27.10.2004, 19:27
Member
Beiträge: 14 |
||
|
||
27.10.2004, 20:24
Member
Beiträge: 21 |
#96
hi leute ich bins nochmal..
hab soweit alles gemacht was ich hinbekommen hab (teilweise warn dateien die ich klöschen sollte garnet vorhanden o.O) egal... jedenfalls hier mein aktuelles hijack-log C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Winamp\winampa.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe C:\Programme\Mousometer\mousometer.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Viren und Trojantools\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8C5DD750-D426-466A-9A33-052166E90906}: NameServer = 217.237.150.33,194.25.2.129 ich hab ja davon keine ahnung aber ich glaub es is alles sauber oder ?? greetz the crow Dieser Beitrag wurde am 28.10.2004 um 10:14 Uhr von Sabina editiert.
|
|
|
||
28.10.2004, 10:12
Ehrenmitglied
Beiträge: 29434 |
#97
Hallo@TheCrow
Gehe bitte in die Registry Start<Ausfuehren<regedit: suche, ob du folgendes findest: HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Enum\Root\LEGACY_"L O L " mit dem Anzeigennamen "Win32 USB2 Driver". Dann mache folgendes: eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp * und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.10.2004 um 10:15 Uhr von Sabina editiert.
|
|
|
||
28.10.2004, 10:23
Ehrenmitglied
Beiträge: 29434 |
#98
Hallo@Spectre
Fixe: O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.10.2004 um 10:33 Uhr von Sabina editiert.
|
|
|
||
28.10.2004, 21:28
...neu hier
Beiträge: 4 |
#99
Hallo Sabina,
Danke erstmal... HIer ist der VirenLog von esave File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\webhancer.exe tagged as not-a-virus:AdWare.WebHancer. No Action Taken. File C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\new_net.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken. File C:\ied_s7m.cab infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: No Action Taken. File D:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\WINNT\twain_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Programme\filesubmit\The Matrix Reloaded 3D Screensaver\nnezt388.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken. File D:\Programme\NewDotNet\newdotnet3_88.dll tagged as not-a-virus:AdWare.NewDotNet. No Action Taken. File G:\alt D\nitro\codecs\New_Codecs.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File G:\alt D\RECYCLED\DD1329.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Downloads\programme\2002-08\w2kdrv311-hauppauge tv.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File H:\Downloads\programme\2002-10\getrt45d.exe tagged as not-a-virus:AdWare.Gator. No Action Taken. File H:\Downloads\programme\2003-03\SPLOT_3[1].20.18_German.zip tagged as not-a-virus:Cracker.Wicked. No Action Taken. File H:\Downloads\programme\2004-06\setup_mp3tool_1.5.2.1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Hier Der Log von Hijack Logfile of HijackThis v1.98.2 Scan saved at 21:31:11, on 28.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\system32\ctfmon.exe C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\abc\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{AEFAB768-F49A-4C0C-9E51-6E4644D36A00}: NameServer = 217.237.151.225 217.237.150.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA8AEAD-7616-4187-9E31-31FA2673711A}: NameServer = 192.168.120.252,192.168.120.253 Was kann ich machen ??? Danke Hauke |
|
|
||
28.10.2004, 21:40
Moderator
Beiträge: 7805 |
#100
Du kannst alle Meldungen oben ignorieren, bis auf das:
Innerhalb dieses Ordners bitte alles loeschen C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp oder es via www.clearprog.de machen lassen und in Software nach newdotnet oder dot.net suchen. Spybot und Adawrae wuerde ich auch mal nutzen: http://board.protecus.de/t9373.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.10.2004, 23:05
Ehrenmitglied
Beiträge: 29434 |
#101
Hallo@Hauke.1
Oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\ied_s7m.cab <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\webhancer.exe <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\new_net.exe <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: D:\Programme\filesubmit\The Matrix Reloaded 3D Screensaver\nnezt388.exe <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: H:\Downloads\programme\2002-10\getrt45d.exe <PC neustarten Lade: #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm <"I know what I'm doing" bringe die <newdotnet3_88.dll< von der linken auf die rechte Seite und loesche die dll. #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K Dann scanne noch mal mit eScan (not-a-virus:Tool.Win32.Reboot ist keine malware) alles andere muesste verschwunden sein. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.10.2004 um 23:05 Uhr von Sabina editiert.
|
|
|
||
29.10.2004, 02:43
...neu hier
Beiträge: 6 |
#102
Hi Sabina
Ich habe via hijackthis (hjt) die sachen gefix die du gepostet hast. Dann im abgesicherten modus die adaware durchlaufen lassen und jetzt befinden sich da über 400 sachen unter quarantine... Die Internetfiles lösche ich meistens immer am ende eines tages. Komischerweise tauchen diese einträge nach jedem reboot im der log von highjackthis auf obwohl ich sie wie gesagt schon mehrmals gefixt habe: O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - vielleicht kannst du mir erklären was das ist ?! Kann man eigentlich den backup von hjt und die sachen die unter quarantine von adaware stehen löschen ?! Hier die letzte log: Logfile of HijackThis v1.98.2 Scan saved at 02:27:38, on 29.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Programme\PCI Audio Applications\Mixer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\Dokumente und Einstellungen\.dreck\Eigene Dateien\hijackthis2\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 Ser*hier nicht!*=DR12CNC-8322248-NFT lang=DE O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - gruß Spectre Dieser Beitrag wurde am 29.10.2004 um 02:56 Uhr von Spectre editiert.
|
|
|
||
29.10.2004, 10:33
Ehrenmitglied
Beiträge: 29434 |
#103
Hallo@Spectre
#Ich hatte schon mal alle diese 016-Eintraege ueber "Google" ueberprueft...es sind keine boesen Eintraege. Du kannst die Zahl in den Klammern mal bei Google eingeben und es selbst ueberpruefen. #Ansonsten lasse die Eintraege von AdAware in Quarantaene . #Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern. #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html Opera http://www.opera7.de/ #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.10.2004 um 10:36 Uhr von Sabina editiert.
|
|
|
||
31.10.2004, 11:31
...neu hier
Beiträge: 5 |
#104
Hi Sabina,
nachdem lange Zeit mein Rechner überhaupt nicht mehr funktioniert hat kann ich leider erst jetzt antworten. Irgendwie hab ich das Problem aber jetzt wieder im Griff, allerdings sind die Archivdateien immer noch "kaputt" lt. Antivir. Deshalb anbei ein Auszug aus dem Protokoll von Antivir: C:\WINDOWS WIN386.SWP Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\OPTIONS\CABS WIN_16.CAB ArchiveType: CAB (Microsoft) --> wexlxd60.dll HINWEIS! Der Archivheader ist defekt --> whlp16t.dll HINWEIS! Der Archivheader ist defekt --> whlp32t.dll HINWEIS! Der Archivheader ist defekt --> wiadefui.dll HINWEIS! Der Archivheader ist defekt --> wiadrvud.dll HINWEIS! Der Archivheader ist defekt --> wiadss.dll HINWEIS! Der Archivheader ist defekt --> wiascr.dll HINWEIS! Der Archivheader ist defekt --> wiaservc.dll HINWEIS! Der Archivheader ist defekt --> wiashext.dll HINWEIS! Der Archivheader ist defekt --> wiastatd.dll HINWEIS! Der Archivheader ist defekt --> wiavusd.dll HINWEIS! Der Archivheader ist defekt --> wildlb32.dll HINWEIS! Der Archivheader ist defekt --> win32s16.dll HINWEIS! Der Archivheader ist defekt --> win87em.dll HINWEIS! Der Archivheader ist defekt --> winalign.dll HINWEIS! Der Archivheader ist defekt --> winaspi.dll HINWEIS! Der Archivheader ist defekt --> wininet.dll HINWEIS! Der Archivheader ist defekt --> winmgmtr.dll HINWEIS! Der Archivheader ist defekt --> winmm.dll HINWEIS! Der Archivheader ist defekt --> winnet16.dll HINWEIS! Der Archivheader ist defekt --> wintrust.dll HINWEIS! Der Archivheader ist defekt --> wl32dll.dll HINWEIS! Der Archivheader ist defekt --> wldap32.dll HINWEIS! Der Archivheader ist defekt --> wmadmod.dll HINWEIS! Der Archivheader ist defekt --> wmadmoe.dll HINWEIS! Der Archivheader ist defekt --> wmasf.dll HINWEIS! Der Archivheader ist defekt --> wmdmlog.dll ... es folgen die Archivdateien WIN_20 & 21 & 9.cab Hast Du sowas schon einmal gesehen? Ist mein Windows kaputt? Vielen Dank für Deine Hilfe im Voraus. Gruß Lion |
|
|
||
31.10.2004, 15:42
Ehrenmitglied
Beiträge: 29434 |
#105
Hallo@Lion1979
#Fuer<wexlxd60.dll< habe ich gefunden, dass es zu einem TREIBER gehoert. http://www.google.de/search?hl=de&ie=ISO-8859-1&q=wexlxd60.dll&btnG=Google-Suche&meta= # <whlp16t.dll<whlp32t.dll< kannst du hier laden http://www.ezgoal.com/channels/developer/c.asp?cid=197759&p=89&o=&s=&l=&t=&Developer+software #<wiadefui.dll< Systemsteuerungsicone in den cpl Dateien. usw..... Ja, dein Windows und wahrscheinlich einige Treiber sind zerstoert. Du solltest eine Reparatur von XP (?) versuchen oder neu formatieren. Mit Viren hat dein Problem nichts zu tun. <Reparatur: http://www.computerhilfen.de/tipps-windows-xp-reparatur.php3 <Neuinstallation XP http://8ung.at/chemikers-home/SETUP.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.10.2004 um 15:45 Uhr von Sabina editiert.
|
|
|
||
die dateien habe ich schon mithilfe von Killbox gelöscht, die backups im "submit via norton unter quarantine gestellt und dann gelöscht (hoffe das war richtig ^^)
Ich scanne dann mal...