Search assistent-Entfernung nicht möglich. |
||
---|---|---|
#0
| ||
30.09.2004, 22:39
...neu hier
Beiträge: 10 |
||
|
||
01.10.2004, 10:11
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @Wildebene
Fixe: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.anvchxvfzfcuebnuvztvxsvhz.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0Tx1P8Q7jo1ZHMZjtEOurl4.html neustarten FindnFix: http://www10.brinkster.com/expl0iter/freeatlast/FNF/ 1. Entpacken 2. !LOG!.BAT anklicken 3. Log(log.txt) abkopieren und posten (falls dein Antivirus protestiert...keinen Schreck bekommen ! Ab in die Quarantene...es ist ein Bug, kein Virus) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.10.2004 um 10:12 Uhr von Sabina editiert.
|
|
|
||
03.10.2004, 18:24
...neu hier
Themenstarter Beiträge: 10 |
#3
Sun 03 Oct 04 18:11:12
Hallo Sabina, Vielen Dank für Deine Hilfe. Bin nach deiner Anweisung vorgegenagen. Bin ich ihn jetzt schon los? Hier mein log: und Danke für Deine rasche Hilfe. Sun 03 Oct 04 18:11:12 »»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»» *System: Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600) *IE version: 6.0.2800.1106 SP1-Q810847-Q837009-Q832894-Q831167-Q823353-Q867801 MS-DOS Version 5.00.500 *command.com test passed! __________________________________ !!*Creating backups...!! The operation completed successfully 18:11:12,21 03.10.2004 __________________________________ *Local time: Sonntag, 03. Oktober 2004 (03.10.2004) 18:11, Westeuropäische Normalzeit *Uptime: 18:11:13 up 0 days, 0:08:43 *Path: C:\FINDnFIX ---------------------------------------------------- »»Member of...: ("ADMIN" logon + group match required!) User is a member of group DAISY\Kein. User is a member of group \Jeder. User is a member of group VORDEFINIERT\Administratoren. User is a member of group VORDEFINIERT\Benutzer. User is a member of group \LOKAL. User is a member of group NT-AUTORITÄT\INTERAKTIV. User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! User: [DAISY\Wildebene], is a member of: VORDEFINIERT\Administratoren \Everyone Running in WORKSTATION MODE. SystemDrive is C: SystemRoot is C:\WINDOWS Logon Domain is DAISY Administrator's Name is Wildebene Computer Name is DAISY LOGON SERVER is \\DAISY »»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. Ex: read only files, s/h files, last modified date. size, etc. The filters provided and registry scan should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder ______________________________________________________________________________ ***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!*** ______________________________________________________________________________ ......Scanning for file(s)... *Note! The list(s) may include legitimate files! »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»» (*1*) »»»»» ......... »»Read access error(s)... »»»»» (*2*) »»»»»........ »»»»» (*3*) »»»»»........ No matches found. unknown/hidden files... No matches found. »»»»» (*4*) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»»»(*5*)»»»»» »»»»»(*6*)»»»»» »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»»Search by size... *List of files and specs according to 'size' : *Note: Not all files listed here are infected, but *may include* the name and spces of the offending file... ___________________________________________________________________________ Path: C:\WINDOWS\SYSTEM32 Including: *.DLL ____________________________________________________________________________ *By size and date... No matches found. No matches found. No matches found. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» BHO search and other files... No matches found. No matches found. --*sp.html in temp folder was NOT FOUND!-- *Filter keys search... REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2) --(*text/html Subkey was NOT FOUND!)-- REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2) --(*text/plain Subkey was NOT FOUND!)-- »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»Size of Windows key: (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450 »»Checking for AppInit_DLLs (empty) value... ________________________________ !"AppInit_DLLs"=""! Value Matches ________________________________ »»Comparing *saved* key with *original*... REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com) Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows). No differences found. »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM »»Performing string scan.... 00001150: vk f AppInit_DLLs G 00001190: h vk UDeviceNotSelectedTimeout 1 5 000011D0: 0 9 0 =t vk ' zGDIProcessHandle 00001210:Quota" vk 8 Spooler2 y e s _ h 00001250: ` vk 5swapdisk vk 00001290: . TransmissionRetryTimeout h ` 000012D0: vk ' N USERProcessHandleQuota x 00001310: 00001350: 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖæG -------------- -------------- $01180: AppInit_DLLs $011AF: UDeviceNotSelectedTimeout $011FF: zGDIProcessHandleQuota $01298: TransmissionRetryTimeout $012E8: USERProcessHandleQuota -------------- -------------- No strings found. -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ............. A handle was successfully obtained for the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key. This key has 0 subkeys. The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination. [AppInitDLLs] Ansi string : "" 0000 00 00 | .. ----------------------- »»»»»»Backups list...»»»»»» 18:12:11 up 0 days, 0:09:41 ----------------------- Sun 03 Oct 04 18:12:11 C:\FINDNFIX\ keyback.hiv Sun 3 Oct 2004 18:11:14 A.... 8.192 8,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 8.192 bytes 8,00 K C:\FINDNFIX\KEYS1\ winkey.reg Sun 3 Oct 2004 18:11:14 A.... 287 0,28 K 1 item found: 1 file, 0 directories. Total of file sizes: 287 bytes 0,28 K *Temp backups... "C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\Backs2\" keyback2.hi_ 3 Oct 2004 8192 "keyback2.hi_" winkey2.re_ 3 Oct 2004 287 "winkey2.re_" 2 items found: 2 files, 0 directories. Total of file sizes: 8.479 bytes 8,28 K -D---- JUNKXXX 00000000 18:11.14 03/10/2004 A----- STARTIT .BAT 00000060 18:11.14 03/10/2004 ________________________________________________________________________________ ***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)' AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS! MINIMAL REQUIREMENTS INCLUDE: _________XP HOME/PRO; SP1; IE6/SP1 _________2K/SP4; IE6/SP1 ________________________________________________________________________________ »»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»» -----END------ Sun 03 Oct 04 18:12:12 |
|
|
||
04.10.2004, 08:59
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @Wildebene
Nein, du bist die Malware noch nicht los. Mache folgendes: ___________________________________________________________________ Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Das "eScan AV Toolkit" (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Gehe wieder in den Normalmodus und scanne noch mal. <Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde : [Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> Files Renamed oder Deleted Files eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.] --««und das neue Log vom HijackThis noch mal posten. (stelle vorher unter <Internetoption< eine neue Startseite ein) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.10.2004 um 08:59 Uhr von Sabina editiert.
|
|
|
||
05.10.2004, 02:56
...neu hier
Beiträge: 1 |
#5
Hi ihr beiden !
Hatte genau daß gleiche problem habs gemacht im gesichicherten modus die vieren von hand gelöscht und siehe da wech isser !!!!! Supergroßen dank Sabina hast mir viel geholfen hier war wol der schuldige dabei!!! Tue Oct 05 02:03:02 2004 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Close Size Bind\bleh error.exe Tue Oct 05 02:03:11 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Close Size Bind\bleh error.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken. Tue Oct 05 02:04:21 2004 => File C:\Dokumente und Einstellungen\BlackDragon\Desktop\backups\backup-20041004-155556-600.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken Tue Oct 05 02:05:19 2004 => Scanning File C:\Programme\clock support move\Safe four.exe Tue Oct 05 02:05:19 2004 => File C:\Programme\clock support move\Safe four.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. Tue Oct 05 02:08:40 2004 => Scanning File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\132D62E7 Tue Oct 05 02:08:40 2004 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\132D62E7 infected by "TrojanDownloader.WIn32.Swizzor.bt" Virus. Action Taken: No Action Taken. Tue Oct 05 02:10:41 2004 => Scanning File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\First remote cdrom.exe Tue Oct 05 02:10:41 2004 => File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\First remote cdrom.exe infected by "TrojanDownloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken. Tue Oct 05 02:10:41 2004 => Scanning File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\yuhgaewv.exe Tue Oct 05 02:10:41 2004 => File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\yuhgaewv.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken. So daß warn alle ich hoffe daß ich helfen konnte und nochmal herrzlichen dank euer MorpheusFrg!!! |
|
|
||
05.10.2004, 10:17
...neu hier
Themenstarter Beiträge: 10 |
#6
Hallo Sabina
Bin nach deiner Anleitung vorgegangen. Hier mein Virus Log von mwav Schaut glaub ich wild aus. Muß ich jetzt diese löschen? Wie geht´s weiter?. Danke erstmals. Highjack log folgt zum Schluß (Searchassistent ist noch da) Tue Oct 05 09:31:00 2004 => Total Files Renamed: 0 Tue Oct 05 09:31:00 2004 => Total Deleted Files: 0 Tue Oct 05 08:45:57 2004 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Tue Oct 05 08:46:00 2004 => File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. ile C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98604577.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98625f11.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986266f5.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98640242.exe infected by File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9865ab68.exe infected by "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken: "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken: File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867105b.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867c199.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867e364.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f1fa.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. Tue Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f57f.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9868f137.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986ef7e4.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\987969b5.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. Tue Oct 05 09:11:17 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta10.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken. Tue Oct 05 09:11:17 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta11.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. Tue Oct 05 09:11:17 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta34.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken. Tue Oct 05 09:11:18 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta4.exe infected by "TrojanDownloader.Win32.Swizzor.ax" Virus. Action Taken: No Action Taken. Tue Oct 05 09:11:18 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken. Tue Oct 05 09:11:18 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5D.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG23.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken. Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG24.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken. Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG6.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken. Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG7.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken. File C:\Lachen-ist-gesund\Spiele\Dartemup\dartsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Oct 05 09:12:40 2004 => File C:\Programme\AcidWebBody\dcorvjcx.exe infected by "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:40 2004 => File C:\Programme\AcidWebBody\gygfoytx.exe infected by "not-a-virus:AdvWare.ToolBar.TPSystem.a" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\hzrgkase.exe infected by "TrojanDownloader.Win32.Swizzor.bj" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\nkaqmyln.exe infected by "TrojanDownloader.Win32.Swizzor.bj" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\ptwxkllc.exe infected by "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\Startslowrdr.exe infected by "TrojanDownloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\xazpbyfz.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Take File C:\Programme\AVPersonal\INFECTED\BACKUP-20040818-124610-619.DLL.VIR infected by "TrojanDownloader.Win32.Agent.de" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAV10.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAV15.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAV16.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAVF.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\TMP8.TMP.VIR infected by "I-Worm.Mydoom.l" Virus. Action Taken: No Action Taken. File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. Logfile of HijackThis v1.97.7 Scan saved at 10:14:17, on 05.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\program files\altnet\points manager\points manager.exe C:\Programme\Winamp\Winampa.exe C:\Programme\AVPersonal\AVGNT.EXE c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\DitExp.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\WINDOWS\System32\notepad.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dgnnuzzhvecfptdkomwsawx.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0QDKgK6SZCZG3MZjtEOurl4.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\mwavscan.com" /s O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169 |
|
|
||
05.10.2004, 12:14
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@Wildebene
Fixe mit dem HijackThis: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dgnnuzzhvecfptdkomwsawx.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0QDKgK6SZCZG3MZjtEOurl4.htm O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\mwavscan.com" /s neustarten #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen Loesche manuell: <c:\progra~1\acidwe~1\inside~1.exe <C:\PROGRA~1\ACIDWE~1\InsideIso.exe <C:\WINDOWS\gmz-10061.exe (Dialer) <C:\PROGRA~1\ACIDWE~1\InsideIso.exe <C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98604577.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98625f11.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986266f5.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98640242.exe C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9865ab68.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867105b.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867c199.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867e364.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f1fa.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f57f.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9868f137.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986ef7e4.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\987969b5.exe File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta10.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta11.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta34.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta4.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5D.exe <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG23.exe (Dialer) <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG24.exe (Dialer) <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG6.exe (Dialer) <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG7.exe (Dialer) <C:\Programme\AcidWebBody\dcorvjcx.exe <C:\Programme\AcidWebBody\gygfoytx.exe <C:\Programme\AcidWebBody\hzrgkase.exe <C:\Programme\AcidWebBody\InsideIso.exe <C:\Programme\AcidWebBody\nkaqmyln.exe <C:\Programme\AcidWebBody\ptwxkllc.exe <C:\Programme\AcidWebBody\Startslowrdr.exe <C:\Programme\AcidWebBody\xazpbyfz.exe <C:\Programme\AVPersonal\INFECTED\BACKUP-20040818-124610-619.DLL.VIR <C:\Programme\AVPersonal\INFECTED\NAV10.TMP.VIR <C:\Programme\AVPersonal\INFECTED\NAV15.TMP.VIR <C:\Programme\AVPersonal\INFECTED\NAV16.TMP.VIR <C:\Programme\AVPersonal\INFECTED\NAVF.TMP.VIR <C:\Programme\AVPersonal\INFECTED\TMP8.TMP.VIR <C:\WINDOWS\gmz-10061.exe (Dialer) <C:\WINDOWS\gmz-10061.exe (Dialer) #Deinstalliere den Antivirus und lade neu Antivirus (free) http://www.free-av.de/ Konfigurieren: "alle Dateien " und " Heuristik : mittel" im Scanner UND im Guard #Search&Destroy http://www.safer-networking.org/de/download/index.html #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt und durch jedermann, der Zutritt zu Ihrem Computer hat, ausgewertet werden können. http://www.almisoft.de/traxex2.htm #Dann scanne noch mal mit Escan und poste, was noch gefunden wurde, und auch das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.10.2004 um 12:19 Uhr von Sabina editiert.
|
|
|
||
05.10.2004, 17:20
...neu hier
Themenstarter Beiträge: 10 |
#8
Hallo Sabina. Danke für deine Antwort. Hat fast alles funktioniert.
Diese konnte ich nicht löschen. Kommt Meldung: "Wird verwendet, kann nicht gelöscht werden.": <c:\progra~1\acidwe~1\inside~1.exe <C:\PROGRA~1\ACIDWE~1\InsideIso.exe C:\PROGRA~1\ACIDWE~1\InsideIso.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe Nicht gefunden: C:\Programme\AcidWebBody\InsideIso.exe File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll <C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll Hier das escan log: File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\Programme\AcidWebBody\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. File C:\Programme\AcidWebBody\apqzsehm.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: N File C:\Lachen-ist-gesund\Spiele\Dartemup\dartsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken. File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Hier Hijack log:Logfile of HijackThis v1.97.7 Scan saved at 17:16:43, on 05.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\program files\altnet\points manager\points manager.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\DitExp.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\notepad.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Outlook Express\msimn.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rbvivozmkdqspkarjqcwcj.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0ToOnthO7ZS0mMZjtEOurl4.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169 |
|
|
||
06.10.2004, 01:03
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo @Wildebene
Noch am das gleiche Spielchen...es muss doch ,moeglich sein, diese Startseite wegzubekommen Fixe: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rbvivozmkdqspkarjqcwcj.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0ToOnthO7ZS0mMZjtEOurl4.html O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe neustarten #Lade die zip-Date i<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Search&Destroy http://www.safer-networking.org/de/download/index.html #Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters\\ServiceDll poste mal , welche dll sich dort befindet. #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Jetzt, wo das<ACIDWE< aus dem Autostart ist, muesstest du es deinstallieren koennen. C:\PROGRA~1\ACIDWE~1\InsideIso.exe #loesche\deinstalliere (am besten im abgesicherten Modus) http://www.tu-berlin.de/www/software/virus/savemode.shtml C:\Programme\AcidWebBody\InsideIso.exe C:\PROGRA~1\ACIDWE~1\InsideIso.exe C:\Programme\AcidWebBody\apqzsehm.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll #Falls du es im abgesicherten Modus nicht manuell geloescht bekommst, nimm das HijackThis zur Hilfe. Das geht so: HijackThis< Config< Delete a file on reboot< datei <neustarten Beispiel: HijackThis< Config< Delete a file on reboot<InsideIso.exe < neustarten Dann #Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.10.2004 um 01:12 Uhr von Sabina editiert.
|
|
|
||
07.10.2004, 15:43
...neu hier
Themenstarter Beiträge: 10 |
#10
Hallo Sabina,
Endlich gute Neuigkeiten. Ich bin diesen Assistent losgeworden. Dank deiner Hilfe. Recht herzlichen Dank für deine rasche und uneigennützige Hilfe. Leute wie dich braucht die Welt. Also nochmals Danke und ich hoffe daß ich deine Hilfe nicht mehr so schnell in Anspruch nehmen muß. Habe das alles gelöscht (war diesmal mgl.) und siehe da er war weg.: C:\Programme\AcidWebBody\InsideIso.exe C:\PROGRA~1\ACIDWE~1\InsideIso.exe C:\Programme\AcidWebBody\apqzsehm.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll Hier noch mein Log: Scan saved at 15:37:53, on 07.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\program files\altnet\points manager\points manager.exe C:\Programme\Winamp\Winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\WINDOWS\DitExp.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dmepgoxgbmkwbpsoa.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0QB/hNxjF_TwmMZjtEOurl4.asp O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169 |
|
|
||
07.10.2004, 22:37
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@Wildebene
Es ist immer noch da. !!!!!!!!!!!!!!!!!!! R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dmepgoxgbmkwbpsoa.com/................................. Fixe den Eintrag bitte diesmal nicht. Sondern suche den dazugehoerigen Eintrag in der registry. Poste, wie er heisst. #Gehe in die Registry Start<Ausfuehren<regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] Value Name: SearchAssistant Data Type: REG_SZ (String Value) Value Data: Search URL Poste.welcher Eintrag dort ist und suche nach gleichen Eintraegen unter anderen Schluesseln . _____________________________________________________________________ # lade :Spysweeper http://www.spysweeper.com/ #ClaerProg (saeubere den Browser) http://www.clearprog.de/ Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs Spyware-Guard #http://www.javacoolsoftware.com/sgdownload.html #RegSupreme: http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/ RegSupreme Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt. Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann. #Lade dieses Tool Pestpatrol http://www.securityinfo.ch/pestpatrol.html (loescht nicht, aber zeigt die Malware an) Poste es ! #Scanne noch mal mit Escan und poste, was noch angezeigt wird. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.10.2004 um 22:58 Uhr von Sabina editiert.
|
|
|
||
11.10.2004, 20:58
...neu hier
Themenstarter Beiträge: 10 |
#12
Hallo Sabina,
In der registry habe ich folgenden Eintrag gefunden: http://ie.search.msn.com/{SUB RFC1766}/srchasst/srchasst.htm Pestpatrol hat einiges gefunden aber ich kann das weder rauskopieren oder sonstwas um es zu posten. Escan hat noch dies gefunden: => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\Programme\AVPersonal\INFECTED\JOKE[1].COM.VIR infected by "I-Worm.Bagle.as" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-3964966158-1720698071-3506673259-500\Dc5.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken. File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Kann ich infizierte und gefundene files eigentlich bedenkenlos löschen oder werden die noch irgendwo gebraucht? Dieser Searchassisent scheint endlich verschwunden zu sein. Ladet sich auch nicht mehr auf den Bilschirm. Glaube wir haben es geschafft. Hier noch Hijacklog und recht herzlichen Dank für Deine Hilfe. W. Logfile of HijackThis v1.97.7 Scan saved at 20:50:25, on 11.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Winamp\Winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\WINDOWS\DitExp.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\kavss.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169 |
|
|
||
12.10.2004, 00:33
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @Wildebene
Loesche manuell: C:\RECYCLER\S-1-5-21-3964966158-1720698071-3506673259-500\Dc5.exe C:\Programme\AVPersonal\INFECTED\JOKE[1].COM.VIR Lade dieses Tool (stelle deine persoenliche Startseite ein) http://www.pjwalczak.com/spguard/ Poste mal wenigstens die Namen der Spyware, die Pestpatrol anzeigt. Das Log ist sauber mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.10.2004 um 00:35 Uhr von Sabina editiert.
|
|
|
||
12.10.2004, 21:21
...neu hier
Themenstarter Beiträge: 10 |
#14
Hallo Sabina
Hier die namen der Spyware von Pestpatrol: Twain-Tech PKaZaA 2P Networking TopSearch TOPicks BearShare WindowsMedia TradeDoubler.com Servedby.Advertising.com Mediaplex.com HitBox.com DoubleClick Atwola As1.falkag.de Advertising.com AdBureau Was mach ich mit diesem Tool?: http://www.pjwalczak.com/spguard/ Mein Englich ist nicht so super. Brauch ich das? Welche Startseite ist hier gemeint, IE-Explorer? Gibts das auch in Deutsch? Danke W. |
|
|
||
13.10.2004, 10:28
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo @Wildebene
Gib diese Eintraege in die Suchfunktion der Registry ein (oben links in der Registry) und loesche rechts in der Registry alle Eintraege, die du findest: Start<Ausfuehren<regedit: Twain-Tech PKaZaA 2P Networking TopSearch TOPicks BearShare WindowsMedia TradeDoubler Servedby Mediaplex HitBox DoubleClick Atwola As1.falkag Advertising AdBureau #Dann mache das gleiche mit der Suchfunktion von Windows: <Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" <Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen ________________________________________________________________________ #Dann lasse das Tool, was ich gepostet habe und lade das: (ist ein Ueberwachungstool..hake ALLE Eintraege an )..protected #Spywareblaster http://www.javacoolsoftware.com/sbdownload.html #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org #Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.10.2004 um 10:31 Uhr von Sabina editiert.
|
|
|
||
Hier mein Log:
Logfile of HijackThis v1.97.7
Scan saved at 22:36:08, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.anvchxvfzfcuebnuvztvxsvhz.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0Tx1P8Q7jo1ZHMZjtEOurl4.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169