HILFE!! Registry Scanner, Keylogger, Malware etc. |
||
---|---|---|
#0
| ||
30.10.2004, 13:10
...neu hier
Beiträge: 2 |
||
|
||
30.10.2004, 13:52
Moderator
Beiträge: 7805 |
#2
Ja, da ist einiges und die Dateien/Eintraege, die mit "-m" enden scheinen alles Dialer zu sein.
Fixe bitte folgendes(anhaken und fix checked druecken): F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe O2 - BHO: (no name) - {36E309BD-3A04-4824-B121-26AAE3C98513} - C:\WINNT\System32\edo.dll (file missing) O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll O4 - HKLM\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif O4 - HKLM\..\Run: [SSK Service] C:\Download\details.pif O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe O4 - HKCU\..\Run: [5-1-8-5] c:\winnt\5-1-8-5.exe -m O4 - HKCU\..\Run: [5-2-100-149] c:\winnt\5-2-100-149.exe -m O4 - HKCU\..\Run: [5-1-25-261] c:\winnt\5-1-25-261.exe -m O4 - HKCU\..\Run: [5-2-100-190] c:\winnt\5-2-100-190.exe -m O4 - HKCU\..\Run: [5-2-100-157] c:\winnt\5-2-100-157.exe -m O4 - HKCU\..\Run: [5-1-25-467] c:\winnt\5-1-25-467.exe -m O4 - HKCU\..\Run: [5-1-26-26] c:\winnt\5-1-26-26.exe -m O4 - HKCU\..\Run: [5-2-170-29] c:\winnt\5-2-170-29.exe -m O4 - HKCU\..\Run: [5-1-25-331] c:\winnt\5-1-25-331.exe -m O4 - HKCU\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif O4 - HKCU\..\Run: [SSK Service] C:\Download\details.pif O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2 (file missing) Bitte folgende Dateien: C:\WINNT\System32\twink64.exe C:\WINNT\system32\services\msxmidi.exe c:\winnt\5-1-25-261.exe oder eine andere Datei von den -m Eintraegen. an virus@protecus.de heuristik@antivir.de schicken, oder zumindestens hier testen: http://virusscan.jotti.dhs.org/ __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.10.2004, 13:55
Moderator
Beiträge: 7805 |
#3
Fast vergessen, dein Windows aktualisieren, genauso wie dein Antivir, im Antivir guard die Dateiheuristik auf mittel aktivieren und bitte mal Escan deinen Rechner pruefen lassen und die Dateien mit Killbox beseitigen: Infos dazu gibt es hier:
http://www.rokop-security.de/board/index.php?showtopic=3867 Danach bitte ein neues Log posten __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.10.2004, 20:16
...neu hier
Themenstarter Beiträge: 2 |
#4
Hi Raman,
vielen Dank für die Hilfe!!!! Sieht schon alles viel besser aus. Wie Du am highjackthis logfile sehen kannst lassen sich die 014 Werte nicht entfernen. Aber auf jeden Fall sind die dämlichen Pop-ups verschwunden. e-scan läßt sich nicht installieren. Beim unzippen bekomme ich die meldung "Error 11 running command mwavscan.co" angezeigt. Vielen Dank nochmals und ein schönes Wochenende wünscht Wilfried Logfile of HijackThis v1.98.2 Scan saved at 19:50:57, on 30.10.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\drivers\KodakCCS.exe C:\Programme\Kerio Firewall\persfw.exe C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\ScsiAccess.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\atiptaxx.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\WINNT\loadqm.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\System32\UMonit2K.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\System32\internat.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spyware Doctor\spydoctor.exe C:\Programme\a2\a2guard.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe C:\Programme\wincmd\WINCMD32.EXE C:\Downloads\HijackThis.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [UMonit2K.exe] "C:\WINNT\System32\UMonit2K.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ArchiCrypt Shredder] C:\Programme\ArchiCrypt Shredder\ACShredder.exe -hide O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci172.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{955B2087-7C3A-4EEE-9313-A1535DEBF48C}: NameServer = 217.237.150.33 217.237.151.161 |
|
|
||
30.10.2004, 20:21
Moderator
Beiträge: 7805 |
#5
Sieht auch schon besser aus.FIx noch das:
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile Starte die MWAV.exe im abgesicherten Modus und lasse dann deinen Rechner pruefen. Vergesse bitte das Windowsupdate.nicht! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
wer kann helfen???
Versuche seit Tagen mit Spyware doctor, Ad-aware SE und XPclean Malware und sonstigen Befall wieder los zu werden. Es hilft nicht, ständig öffnen sich websites wie amazon.com, casino.??.com, 6forfree.com oder ähnliches. Ich füge ein Protokoll das ich über hijackthis erstellt hinzu.
Leider habe ich überhaupt keine Ahnung was ich dort wie ändern kann.
Ich wäre für eine "kleine" verständliche Anleitung sehr dankbar.
Willie
Logfile of HijackThis v1.98.2
Scan saved at 12:48:50, on 30.10.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programme\Kerio Firewall\persfw.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\ScsiAccess.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\services\msxmidi.exe
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\UMonit2K.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\twink64.exe
C:\WINNT\System32\internat.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\wincmd\WINCMD32.EXE
C:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
O2 - BHO: (no name) - {36E309BD-3A04-4824-B121-26AAE3C98513} - C:\WINNT\System32\edo.dll (file missing)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif
O4 - HKLM\..\Run: [SSK Service] C:\Download\details.pif
O4 - HKLM\..\Run: [UMonit2K.exe] "C:\WINNT\System32\UMonit2K.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [5-1-8-5] c:\winnt\5-1-8-5.exe -m
O4 - HKCU\..\Run: [5-2-100-149] c:\winnt\5-2-100-149.exe -m
O4 - HKCU\..\Run: [ArchiCrypt Shredder] C:\Programme\ArchiCrypt Shredder\ACShredder.exe -hide
O4 - HKCU\..\Run: [5-1-25-261] c:\winnt\5-1-25-261.exe -m
O4 - HKCU\..\Run: [5-2-100-190] c:\winnt\5-2-100-190.exe -m
O4 - HKCU\..\Run: [5-2-100-157] c:\winnt\5-2-100-157.exe -m
O4 - HKCU\..\Run: [5-1-25-467] c:\winnt\5-1-25-467.exe -m
O4 - HKCU\..\Run: [5-1-26-26] c:\winnt\5-1-26-26.exe -m
O4 - HKCU\..\Run: [5-2-170-29] c:\winnt\5-2-170-29.exe -m
O4 - HKCU\..\Run: [5-1-25-331] c:\winnt\5-1-25-331.exe -m
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WindowsMGM] C:\Downloads\Movie_0074[1].mpeg.pif
O4 - HKCU\..\Run: [SSK Service] C:\Download\details.pif
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci172.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{955B2087-7C3A-4EEE-9313-A1535DEBF48C}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2 (file missing)