Qhosts.apd.trojan (die wievielte eigentlich schon?) |
||
---|---|---|
#0
| ||
04.11.2004, 06:38
Member
Beiträge: 11 |
||
|
||
04.11.2004, 11:16
Ehrenmitglied
Beiträge: 29434 |
#32
Hallo@l-ax
Wenn eScan und dein Virenscanner nichts mehr anzeigen und alles, was du noch gefunden hattest, geloescht ist , muesste der PC sauber sein. Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.11.2004, 16:48
Member
Beiträge: 11 |
#33
Hallo@Sabina,
vielen Dank noch mal für Deine Mühe. Zwar habe ich viel Zeit mit der Beseitigung verbringen müssen, aber durch solche Sachen wird man andererseits nicht dümmer. Ich habe lang nicht so viel Fachwissen und Hilfe in einem Forum erhalten wie hier, von Dir. Also Kompliment noch mal. Gruß Mischa |
|
|
||
08.11.2004, 22:17
...neu hier
Beiträge: 5 |
#34
Hallo an alle!
Ich bitte euch alle um hilfe! Ich kenne mich so gut wie garnicht mit pc aus und deswegen bin ich zu euch gestossen! Ich bitte euch darum mir debei zu helfen den blöden trojaner zu entfernen! Qhosts.apd!!! Ich kriege den nicht weg! Ich habe mcafee 100 mal starten lassen! Der erkent ihn, löscht in aber nicht komplet! Bitte erklärt mir wie ich das machen soll! Wie schon gesagt, eure umgangs sprache mit dem pc verstehe ich nicht! Schickt mir bitte eine email mit einer erkläreung! Würde mich auf jeden fall freuen! Danke sg_umberto@yahoo.it Ciao Dieser Beitrag wurde am 08.11.2004 um 23:44 Uhr von Sabina editiert.
|
|
|
||
08.11.2004, 23:43
Ehrenmitglied
Beiträge: 29434 |
#35
Hallo@sg_umberto
HijackThis: <zip< http://www.downloads.subratam.org/hijackthis.zip Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten) (wir arbeiten hier nicht mit emails ; ) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.11.2004 um 23:45 Uhr von Sabina editiert.
|
|
|
||
09.11.2004, 08:16
...neu hier
Beiträge: 5 |
#36
Hallo@Sabina
Ich danke ihnen! Ich werde es sofort aus probieren wenn ich zuhause bin. Danke noch mal! Wünsch ihnen dann noch einen schönen tag! mfg Umberto Dieser Beitrag wurde am 09.11.2004 um 09:38 Uhr von Sabina editiert.
|
|
|
||
09.11.2004, 14:58
...neu hier
Beiträge: 5 |
#37
Hi @ Sabina!
Ich habe alles gemacht und das kam da raus! Logfile of HijackThis v1.98.2 Scan saved at 14:56:39, on 09.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Network Associates\McAfee Desktop Firewall für Windows XP\FireSvc.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\PROGRA~1\mcafee.com\agent\mcupdate.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\MSOffice\services.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe c:\progra~1\mcafee.com\vso\mcvsftsn.exe C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe C:\Programme\Network Associates\McAfee Desktop Firewall für Windows XP\FireTray.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\Dokumente und Einstellungen\the rock\Desktop\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\service.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/ F2 - REG:system.ini: UserInit=Userinit.exe, O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\ABIT\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: Yahoo! Spades - http://download.games.yahoo.com/games/clients/y/st2_x.cab O21 - SSODL: eplrr - {3D51CBA1-3666-4485-8082-2622503E3239} - C:\WINDOWS\System32\eplrr3.dll Hoffe dz kannst mir weiter helfen! Ciao Dieser Beitrag wurde am 10.11.2004 um 01:18 Uhr von Sabina editiert.
|
|
|
||
10.11.2004, 00:59
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo@sg_umberto
Start<Ausfuehren<regedit: loesche: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC oben in der Registry <edit< permissions (Berechtigungen) Ändern Sie außerdem noch die Rechte unter "Sicherheit" -> "Berechtigungen" und geben Sie der Gruppe "Jeder" bzw. "Everyone" auf diesen Zweig "Full Control"\ =>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC Die Berechtigung darf NICHT auf "Lesen" gestellt, sein, sonst kannst du es nicht loeschen. #Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/ F2 - REG:system.ini: UserInit=Userinit.exe, O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: http://*.63.219.181.7 O21 - SSODL: eplrr - {3D51CBA1-3666-4485-8082-2622503E3239} - C:\WINDOWS\System32\eplrr3.dll neustarten #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< kopiere rein: C:\WINDOWS\System32\eplrr3.dll PC neustarten Diese Prozedur machst du mit. <C:\WINDOWS\System32\pxhping.exe <C:\WINDOWS\System32\msacmx.dll <C:\WINDOWS\System32\dllhostxp.exe oder: C:\WINDOWS\dllhostxp.exe _____________________________________________________ #Du hast zwei aktiv,C:\WINDOWS\System32\service.exe die untere im HijackThis wird als "bad" angezeit...ueberpruefe beide: und ueberpruefe auch: <C:\WINDOWS\System32\clfmon.exe Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.dhs.org/ poste mir das Ergebnis. ________________________________________________________ #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporary Internet Files, O.K #Click:Temporary Files, O.K #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera http://www.clearprog.de/downloads.php #lade dieses Tool: Adding sites\servers to the Internet Explorer Restricted Zone http://www.mvps.org/winhelp2002/restricted.htm Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As To use: right-click and select: Install (no need to restart) Note: This will remove all entries in the "Trusted Zone" also. --------------------- <Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, Dann stelle unter <Internetoption< eine neue Startseite ein und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.11.2004 um 01:18 Uhr von Sabina editiert.
|
|
|
||
10.11.2004, 23:27
...neu hier
Beiträge: 5 |
#39
Hi @SABINA
Ich habe die pnpsvc nicht gefunden. Ich habe aber eine gefunden die den Wert mnmsvc hat! (1)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\pnpsvc (2)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pnpsvc (3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\pnpsvc (4)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pnpsvc (5)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\pnpsvc (6)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc (7)<HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PNPSVC (8)<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PNPSVC (9)<HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PNPSVC Von diesen "adressen" Habe ich nur (1),(3)und(5) mit der dateinwert mnmsvc! Ich habe auch "NICHT LESEN" eingestellt so wie sie eis meinten! Bevor ich also was falsches leosche wollte ich sie noch einmal fragen? Es tuht mir leid falls ich Sie nerve. Sollte es so sein dann sagen Sie mir bitte bescheid! mfg Umberto Dieser Beitrag wurde am 10.11.2004 um 23:43 Uhr von Sabina editiert.
|
|
|
||
10.11.2004, 23:42
Ehrenmitglied
Beiträge: 29434 |
#40
Hallo@sg_umberto
Mnmsvc gehoert zum Dienst:NetMeeting-Remotedesktop-Freigabe-Prozess (RDS-Prozess) Den natuerlich nicht loeschen. Zu loeschen waere nur alles mitnpsvc (pnpsvc) Wenn es das nicht gibt, schliesse die Registry und arbeite die anderen Punkte ab. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.11.2004 um 23:42 Uhr von Sabina editiert.
|
|
|
||
15.11.2004, 16:03
...neu hier
Beiträge: 5 |
#41
Hi @Sabina!
Ich danke Ihnen für Ihre Hilfe! Ich habe den Virus aber trozdem nur mit Hilfe von Spybot weg kriegen können! Ciao und danke noch mal!!! Mit freundlichen Grüßen sg_umberto |
|
|
||
16.11.2004, 01:02
...neu hier
Beiträge: 4 |
#42
Abend Sabina!
Ich hab irgendwie seit drei Wochen böse Probleme mit Würmen, Trojanern und Backdoors und ich bekomm sie einfach nicht weg! Ich hoffe, du kannst mir helfen...ich bin schon so verzweifelt! Stinger hat folgendes gefunden: Scan initiated on Mon Nov 15 23:35:01 2004 c:\windows\system32\qsws\beird.exe Found the IRC/Flood.cd.dr trojan !!! c:\windows\system32\qsws\beird.exe has been deleted. c:\windows\system32\qsws\alte.exe\alte.exe Found the Exploit-DcomRpc.gen virus !!! c:\windows\system32\qsws\alte.exe\alte.exe has been deleted. C:\WINDOWS\system32\qsws\hosts Found the Qhosts.apd trojan !!! C:\WINDOWS\system32\qsws\hosts has been repaired. C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175426.exe Found the IRC/Flood.cd.dr trojan !!! C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175426.exe has been deleted. C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175427.exe\A0175427.exe Found the Exploit-DcomRpc.gen virus !!! C:\System Volume Information\_restore{02742CDF-4DAD-447A-A366-C85AB8E01BA4}\RP189\A0175427.exe\A0175427.exe has been deleted. Number of clean files: 402885 Number of infected files: 2 Number of Trojans: 2 Number of files repaired: 1 Number of files deleted: 4 Der Hijacktthis Logfile of HijackThis v1.97.7 Scan saved at 00:55:40, on 16.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE C:\WINDOWS\System32\enotxa2.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\System32\NVATray.exe C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe c:\windows\system32\qsws\wshield.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\cidaemon.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\Owner\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [Start aThe Roll] enotxa2.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\RunServices: [Windows Compliant] cphxbr.exe O4 - HKLM\..\RunServices: [Start aThe Roll] enotxa2.exe O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKCU\..\Run: [Start aThe Roll] enotxa2.exe O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37361.2830671296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{72FE08EC-0976-4BF3-9F54-15ADC7D56BC8}: NameServer = 217.237.151.225 217.237.150.225 Ich danke dir jetzt schon mal für deine Hilfe. Gruß Hitsuji |
|
|
||
16.11.2004, 01:27
Ehrenmitglied
Beiträge: 29434 |
#43
Hallo@Hitsuji
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Start aThe Roll] enotxa2.exe O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\RunServices: [Windows Compliant] cphxbr.exe O4 - HKLM\..\RunServices: [Start aThe Roll] enotxa2.exe O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe O4 - HKCU\..\Run: [Start aThe Roll] enotxa2.exe O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren. C:\WINDOWS\System32\enotxa2.exe PC neustarten das machst du mit: <C:\Dokumente und Einstellungen\Owner\Anwendungsdaten\cosr.exe <c:\windows\system32\qsws <c:\windows\system32\qsws\wshield.exe [ wshield.exe - hacked version of SlimFTPd server application] <c:\windows\system32\qsws\beird.exe <c:\windows\system32\qsws\alte.exe\alte.exe <C:\WINDOWS\system32\qsws\hosts <C:\Program Files\Windows AdControl\WinAdCtl.exe <c:\windows\system32\wmplayer612.exe <c:\windows\system32\Msbb.exe <c:\windows\Msbb.exe <c:\windows\system32\cphxbr.exe Datentraegerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Dann scanne noch mal mit eScan, aber im abgesicherten Modus. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 01:30 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 01:47
...neu hier
Beiträge: 4 |
#44
Danke für deine schnelle Antwort, Sabina!
okay...ich schäm mich schon fast, aber ich komm nicht weiter... 1.)Ich finde "Delete a file on reboot" unter Misc Tools nicht! 2.) Wie komm ich in den abgesichterten Modus? Ich hab das noch nie gemacht. *schäm* ------------- Das mit dem abgesichterten Modus hat sich erledigt. Hab im Forum jetzt nachgelesen. ------------- Oh, tut mir Leid...ich hatte nicht die aktuellste Version. Hab es jetzt aber gefunden. Dieser Beitrag wurde am 16.11.2004 um 01:59 Uhr von Hitsuji editiert.
|
|
|
||
16.11.2004, 10:06
Ehrenmitglied
Beiträge: 29434 |
#45
Hier ist es: (loesche das alte HijackThis)
HijackThis: <zip< http://www.downloads.subratam.org/hijackthis.zip mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Loesche:
C:\Dokumente und Einstellungen\User\doul.exe
#und auch rechts in der Registry, was du zu <doul< findest.
<HKEY_CURRENT_USER\Software\Microsoft\ShellNoRoam\MUICache\doul.exe
<HKEY_Users\S-1-5-21-1981001023-4024994690-2552189465-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache\doul.exe
Alle Einträge gelöscht
Ueberpruefe bitte folgendes:
1.Findest du C:\WINDOWS\System32\services\msxmidi.exe ??
2.<msxmidi.exe< unter diesen Eintraegen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
unter:
__NS_Service
__NS_Service_2
__NS_Service_3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
LEGACY___NS_Service
LEGACY___NS_Service_2
LEGACY___NS_Service_3
und
HKLM\Software\Classes\CLSID\Sicherung\{0F372AFC-3140-48E5-9FA6-D8B6E4C67767}\InProcServer32
Name: Standard Typ: REG_SZ Wert: C:\WINDOWS\system32\system32.dll
Name: Threading Model Typ: REG_SZ Wert: Apartment
Von alle dem ist nichts in der Registrierung zu finden.
Ansonsten scanne noch mal mit eScan und berichte.
Ergebnis: Kein Virus oder Infektion gefunden (nur 4 Fehler).
Isr der Rechner jetzt Clean?
Gruß l-ax