Searchweb2 als Startseite entfernen

#0
05.02.2005, 02:55
...neu hier

Beiträge: 8
#46 Hat bis jetzt alles wunderbar geklappt!
Die startseite ist weg, die searchbar ist weg!
Aber jetzt komme nicht in den abgesicherten Modus! Er fragt, wenn ich F8 drücke nach Hard disk oder CDROM.
Und was soll ich dann wählen? oder gar nichts von beidem?
Seitenanfang Seitenende
05.02.2005, 10:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 Hallo@Bastian

#Deaktiviere die Wiederherstellung(dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.


#Start-->Ausfuehren--> %temp%

dann loesche die infizierten temporaeren Dateien
C:\DOKUME~1\Bastian_\LOKALE~1\Temp\temp.fr0861 ,1b6abde.exe ,5169c3.exe ,8429fb93.exe

usw.....
---------------------------------------------------------------------------

#kopiere alles Malware in die Killbox und loesch sie.
KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\Acid City.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\BindThird.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\first wipe.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\GRIDSTORE.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\Lite Skip.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\Plan meet.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\Real Film.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\Deaf1dupe.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\dmmajxil.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\eonuezgg.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\Free cdrom sect noun.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\hqcjqcrb.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\pfohqbmz.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\wmtjoqkc.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\wrigdqnf.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Intraace\xlvmrlwl.exe

C:\Dokumente und Einstellungen\Bastian_\Anwendungsdaten\Style Flaw\roadsurf.exe

C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\RobotArena2-dm.exe
(dieser Download scheint verantwortlich fuer die Infektion........)

usw....

dann scanne noch mal mit escan--> bis alles sauber ist
---------------------------------------------------------------------------
Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
wenn es nicht geht, starte den PC neu und versuch es im Normalmodus

4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten.

7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 11:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.02.2005, 13:09
Member

Beiträge: 12
#48 also ok. ich ha jetzt mal alles gelöscht, was du geschrieben hast. den rest muss ich aber auch löschen, oder? weil escan meldet mir schonwieder virus.

PS: die datei c:\dokume~1\bastian_\lokale~1\temp\xudeykhr.exe konnt ich nicht finden

ach und der ordner c:\!submit is wohl der backupordner von der killbox? da sind nämlich die ganzen dateien jetzt.

edit: ah shit könnte daran gelegen haben, dass ich die ersten paar files ohne reboot gelöscht hab also normal. ich lösch die am besten nochmal mit der killbox

edit2: und sorry wenn ich immer so dumm frag. ich hab nur angst, ich könnte was an meinem system kaputt machen. is mir nämlich schonmal passiert.

edit3: so hier mal das log nachdem ich alle dateien gelöscht hab, die du geschrieben hast:

Zitat

Sat Feb 05 13:04:45 2005 => File c:\dokume~1\bastian_\lokale~1\temp\ytqdfiuq.exe infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:04:53 2005 => File C:\DOKUME~1\Bastian_\ANWEND~1\Intraace\HELPUS~1.EXE infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:06:15 2005 => File C:\DOKUME~1\Bastian_\LOKALE~1\Temp\ytqdfiuq.exe infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:07:44 2005 => File C:\!Submit\Acid City.exe infected by "not-a-virus:AdWare.Lop.j" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:07:44 2005 => File C:\!Submit\BindThird.exe infected by "not-a-virus:AdWare.Lop.j" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:07:45 2005 => File C:\!Submit\first wipe.exe infected by "not-a-virus:AdWare.Lop.j" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:07:45 2005 => File C:\!Submit\GRIDSTORE.exe infected by "not-a-virus:AdWare.Lop.j" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:07:45 2005 => File C:\!Submit\Lite Skip.exe infected by "not-a-virus:AdWare.Lop.j" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:08:47 2005 => File C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\HijackThis\backups\backup-20050204-151633-953.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:09:26 2005 => File C:\Dokumente und Einstellungen\Bastian_\Lokale Einstellungen\Temp\ytqdfiuq.exe infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:01 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc258.exe infected by "not-a-virus:AdWare.Trymedia.a" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:06 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc344.fr0861 infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:06 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc345.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:06 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc346.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:06 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc347.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:06 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc348.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:06 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc349.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:06 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc350.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 13:14:07 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc351.fr40B2 infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.

Sat Feb 05 13:21:41 2005 => ***** Scanning complete. *****

Sat Feb 05 13:21:41 2005 => Total Files Scanned: 89144
Sat Feb 05 13:21:41 2005 => Total Virus(es) Found: 25
Sat Feb 05 13:21:41 2005 => Total Disinfected Files: 0
Sat Feb 05 13:21:41 2005 => Total Files Renamed: 0
Sat Feb 05 13:21:41 2005 => Total Deleted Files: 0
Sat Feb 05 13:21:41 2005 => Total Errors: 10
Sat Feb 05 13:21:41 2005 => Time Elapsed: 00:17:09
Sat Feb 05 13:21:41 2005 => Virus Database Date: 2005/02/03
Sat Feb 05 13:21:41 2005 => Virus Database Count: 116920

Sat Feb 05 13:21:41 2005 => Scan Completed.
Dieser Beitrag wurde am 05.02.2005 um 13:40 Uhr von Bastian editiert.
Seitenanfang Seitenende
05.02.2005, 14:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 Hallo@Bastian

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


loeschen, manuell oder mit der Killbox (danach neustarten)

C:\Dokumente und Einstellungen\Bastian_\Lokale Einstellungen\Temp\ytqdfiuq.exe
C:\DOKUME~1\Bastian_\ANWEND~1\Intraace\HELPUS~1.EXE
C:\!Submit\Acid City.exe
C:\!Submit\BindThird.exe
C:\!Submit\first wipe.exe
C:\!Submit\GRIDSTORE.exe
C:\!Submit\Lite Skip.exe

PC neustarten !!!!!!!!!!!!!


Start<Ausfuehren--> schreib rein: cmd
DOS oeffnet sich

kopiere rein :

cd\ ---> klicke "enter"

attrib -h -s c:\recycler --> klicke "enter"

del c:\recycler --> klicke "enter"

bestaetige -->Y

PC neustarten

dann scanne noch mal mit escan und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 15:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.02.2005, 15:04
...neu hier

Beiträge: 8
#50 Hallo!
Hab es doch noch hinbekommen mit in den abgesichertten modus zu gehen!
Keine Ahnung warum das anfangs nich geklappt hat!
Hab dann alles gemacht!!!!!!!!und alles ist verschwunden!!!!!!
Vielen Dank!!!!!!!!

Logfile of HijackThis v1.99.0
Scan saved at 15:00:37, on 05.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\DeTeWe\OpenCom 40dsl\Capictrl.exe
C:\Programme\DeTeWe\OpenCom 40dsl\HNetCtrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Yannick\LOKALE~1\Temp\Rar$EX00.329\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\RunOnce: [1] C:\WINDOWS\system32\cmd.exe /c erase "C:\DOKUME~1\Yannick\LOKALE~1\Temp\acsuninstall.exe"
O4 - HKLM\..\RunOnce: [2] C:\WINDOWS\system32\cmd.exe /c erase "C:\DOKUME~1\Yannick\LOKALE~1\Temp\AcsUninstallRes.dll"
O4 - HKLM\..\RunOnce: [3] C:\WINDOWS\system32\cmd.exe /c erase "C:\DOKUME~1\Yannick\LOKALE~1\Temp\shfolder.dll"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBDBB30-F736-431D-BD9C-30A310FFAAAF}: NameServer = 192.168.69.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8792156-B398-4755-8884-8090EF3B8E59}: NameServer = 192.168.69.254
O23 - Service: BlueSoleil Hid Service - Unknown - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
05.02.2005, 15:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 Hallo@Y-Nick

hast du dieses Tool geladen, was eine Seite vorher empfohlen wurde ??????????
______________________________________________________________________-
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\RunOnce: [1] C:\WINDOWS\system32\cmd.exe /c erase "C:\DOKUME~1\Yannick\LOKALE~1\Temp\acsuninstall.exe"
O4 - HKLM\..\RunOnce: [2] C:\WINDOWS\system32\cmd.exe /c erase "C:\DOKUME~1\Yannick\LOKALE~1\Temp\AcsUninstallRes.dll"
O4 - HKLM\..\RunOnce: [3] C:\WINDOWS\system32\cmd.exe /c erase "C:\DOKUME~1\Yannick\LOKALE~1\Temp\shfolder.dll"

PC neustarten

Start<Ausfuehren< schreib rein: %temp%

loesche:
shfolder.dll
acsuninstall.exe
AcsUninstallRes.dll

ist unter:
C:\DOKUME~1\Yannick\LOKALE~1\Temp\shfolder.dll
C:\DOKUME~1\Yannick\LOKALE~1\Temp\AcsUninstallRes.dll
C:\DOKUME~1\Yannick\LOKALE~1\Temp\acsuninstall.exe

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
Log-->"make Report" --> poste das Log

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

dann scanne mit dem escan (im Normalmodus) und poste mir, was alles gefunden wurde.

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 15:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.02.2005, 15:40
Member

Beiträge: 12
#52 ok hab alles so gemacht, wie du geschrieben hast. auch das mit dem del c:\recycler und so, aber das is scheinbar immernoch da.

Zitat

Sat Feb 05 15:23:59 2005 => File C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\HijackThis\backups\backup-20050204-151633-953.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:28:58 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc258.exe infected by "not-a-virus:AdWare.Trymedia.a" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc344.fr0861 infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc345.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc346.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc347.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc348.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc349.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc350.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.
Sat Feb 05 15:29:03 2005 => File C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc351.fr40B2 infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.

Sat Feb 05 15:36:22 2005 => ***** Scanning complete. *****

Sat Feb 05 15:36:22 2005 => Total Files Scanned: 89249
Sat Feb 05 15:36:22 2005 => Total Virus(es) Found: 18
Sat Feb 05 15:36:22 2005 => Total Disinfected Files: 0
Sat Feb 05 15:36:22 2005 => Total Files Renamed: 0
Sat Feb 05 15:36:22 2005 => Total Deleted Files: 0
Sat Feb 05 15:36:22 2005 => Total Errors: 11
Sat Feb 05 15:36:22 2005 => Time Elapsed: 00:16:37
Sat Feb 05 15:36:22 2005 => Virus Database Date: 2005/02/03
Sat Feb 05 15:36:22 2005 => Virus Database Count: 116920

Sat Feb 05 15:36:22 2005 => Scan Completed.
PS: kann ich die log datei mal löschen? das öffenen dauert nämlich immer länger
Dieser Beitrag wurde am 05.02.2005 um 15:47 Uhr von Bastian editiert.
Seitenanfang Seitenende
05.02.2005, 16:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#53 Bastian

ja, loesche die Log -Datei und loesche die

C:\RECYCLER\S-1-5-21-1659508511-3628535232-3991681302-1006\Dc258.exe

usw....

alle manuell.

Dann sanne noch mal mit escan
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2005, 16:51
Member

Beiträge: 12
#54 rofl. alle manuell löschen. hätt ich jetzt fast gemacht, wenn mir dieser ordner net so bekannt vorgekommen wär.
hättst mir ja gleich sagen können, dass ich bloß den papierkorb leeren muss ;-)
ich mach nochmal nen escan scan

edit: alles klar. das einzige was noch übrig ist, is
Sat Feb 05 16:55:54 2005 => File C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\HijackThis\backups\backup-20050204-151633-953.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

vielen dank für deine hilfe ;))

soll ich nochmal mit hijackthis scannen oder so?
Dieser Beitrag wurde am 05.02.2005 um 18:11 Uhr von Bastian editiert.
Seitenanfang Seitenende
05.02.2005, 18:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#55 Bastian

loeschen:
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\HijackThis\backups\backup-20050204-151633-953.dll

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

ja, poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 18:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.02.2005, 18:42
Member

Beiträge: 12
#56

Zitat

Logfile of HijackThis v1.99.0
Scan saved at 18:41:26, on 05.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\zHotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGNT.EXE
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\TVgenial\TVgenial.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe
C:\DOKUME~1\BASTIAN_\EIGENE~1\DOWNLO~1\Pr0gz\Trillian\trillian.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\ehome\EHShell.exe
C:\WINDOWS\system32\MSIFPCTL.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\eMule\emule.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Security\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cuwhvufntpsyebxiwpskm.com/Trvj9CdtxTEzFnYRZp/rVsu2smYBMmxL_nmG8DK24u47yxIAHLDfHi4qVMxc1W6V.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PTBSync] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [TVgenial] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: AntiSchoner.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe
O4 - Startup: Trillian.lnk = ?
O4 - Startup: Verknüpfung mit Playlist1.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Eigene Musik\My Playlists\Playlist1.wpl
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098695436718
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Atomuhr Synchronisation - ElmüSoft - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\system32\ScsiAccess.EXE
Seitenanfang Seitenende
05.02.2005, 18:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 Bastian

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen

http://virusscan.jotti.dhs.org/

reinkopieren:

C:\WINDOWS\system32\MSIFPCTL.exe

poste das Ergebnis

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Fixe mit dem HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cuwhvufntpsyebxiwpskm.com/Trvj9CdtxTEzFnYRZp/rVsu2smYBMmxL_nmG8DK24u47yxIAHLDfHi4qVMxc1W6V.html
O4 - Startup: AntiSchoner.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe
O4 - Startup: Verknüpfung mit Playlist1.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Eigene Musik\My Playlists\Playlist1.wpl
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll

NEUSTARTEN

Loesche:
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe

C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\miniclipGameLoader.dll

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
Log-->"make Report" --> poste das Log vom Scann

+ das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 18:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.02.2005, 19:20
Member

Beiträge: 12
#58 Jotti's malware scan 2.4:

Zitat

Service load: 0% 100%

File: MSIFPCTL.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.19 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.85 seconds taken)
BitDefender No viruses found (0.37 seconds taken)
ClamAV No viruses found (0.44 seconds taken)
Dr.Web No viruses found (0.56 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Fortinet No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus No viruses found (0.64 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 No viruses found (0.40 seconds taken)
Norman Virus Control No viruses found (0.46 seconds taken)
Registry Search Tool:

Zitat

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}" 05.02.2005 19:07:35

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\Control]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\MiscStatus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\MiscStatus\1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\ToolboxBitmap32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\Version]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\retro64_loader.R64Loader\CLSID]
@="{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\retro64_loader.R64Loader.1\CLSID]
@="{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\Contains]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\Contains\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\InstalledVersion]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/miniclipGameLoader.dll]
".Owner"="{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/miniclipGameLoader.dll]
"{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}"=""

[HKEY_USERS\S-1-5-21-1659508511-3628535232-3991681302-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}]

[HKEY_USERS\S-1-5-21-1659508511-3628535232-3991681302-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{288C5F13-7E52-4ADA-A32E-F5BF9D125F98}\iexplore]
was is an antischoner und der playlist im autostart so schlimm? oder sind die irgendwie infiziert?

und die datei C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\miniclipGameLoader.dll gibts nicht


CWShredder 2.12:

Zitat

**** Run Keys ****

RUN: [ehTray] C:\WINDOWS\ehome\ehtray.exe
RUN: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
RUN: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
RUN: [nwiz] nwiz.exe /install
RUN: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
RUN: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
RUN: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
RUN: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
RUN: [Dit] Dit.exe
RUN: [CHotkey] zHotkey.exe
RUN: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
RUN: [PTBSync] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe /Start
RUN: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
RUN: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
RUN: []
RUN: [AVGCtrl] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGNT.EXE /min
RUN: [TVgenial] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\TVgenial\TVgenial.exe -d
RUN: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
RUN: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
BHO: [Google Toolbar Helper] c:\programme\google\googletoolbar1.dll


**** IE Toolbars ****

TOOLBAR: [&Google] c:\programme\google\googletoolbar1.dll


**** IE Extensions ****

IEExt: []
IEExt: [ICQ 4.1] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\ICQLite\ICQLite.exe
IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe


**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

IEBypass: localhost
Default Page: http://de8.hpwis.com
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch


**** IE Context Menu (Right click) ****

IEContext: [&Google Search] res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
IEContext: [Im Cache gespeicherte Seite] res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
IEContext: [Verweisseiten] res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IEContext: [Ähnliche Seiten] res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html


**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B41EAC3D-146F-42EA-BCCF-9AEA137E8ED9}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B41EAC3D-146F-42EA-BCCF-9AEA137E8ED9}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A71A1CC3-BD2B-4690-9D2D-3D7A538B331D}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A71A1CC3-BD2B-4690-9D2D-3D7A538B331D}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D60E6276-9B31-425E-A145-85080BB78583}] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D60E6276-9B31-425E-A145-85080BB78583}] DATAGRAM 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C9BA64FD-1418-48FD-9853-E93A17570CFB}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C9BA64FD-1418-48FD-9853-E93A17570CFB}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E3F5EADB-D32C-4530-934C-6F83C35DEF63}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E3F5EADB-D32C-4530-934C-6F83C35DEF63}] DATAGRAM 3


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

{00B71CFB-6864-4346-A978-C0A14556272C} [http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab] C:\WINDOWS\Downloaded Program Files\msgrchkr.dll
{2917297F-F02B-4B9D-81DF-494B6333150B} [http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab]
{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098695436718]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{8E0D4DE5-3180-4024-A327-4DFAD1796A8D} [http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab]
{8FA9D107-547B-4DBC-9D88-FABD891EDB0A} [http://playroom.icq.com/odyssey_web11.cab]
{B38870E4-7ECB-40DA-8C6A-595F0A5519FF} [http://messenger.msn.com/download/msnmessengersetupdownloader.cab]
{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{DF780F87-FF2B-4DF8-92D0-73DB16A1543A} [http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab]
{F6BF0D00-0B2A-4A75-BF7B-F385591623AF} [http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab]
{FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} [http://xtraz.icq.com/xtraz/activex/MISBH.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\system32\svchost.exe -k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AntiVirService] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGUARD.EXE
[AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[AVWUpSrv] "C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVWUPSRV.EXE"
[BITS] %SystemRoot%\system32\svchost.exe -k netsvcs
[Browser] %SystemRoot%\system32\svchost.exe -k netsvcs
[CiSvc] %SystemRoot%\system32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[DcomLaunch] %SystemRoot%\system32\svchost -k DcomLaunch
[Dhcp] %SystemRoot%\system32\svchost.exe -k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs
[Dnscache] %SystemRoot%\system32\svchost.exe -k NetworkService
[ehRecvr] C:\WINDOWS\eHome\ehRecvr.exe
[ehSched] C:\WINDOWS\eHome\ehSched.exe
[ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\system32\svchost.exe -k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs
[Fax] %systemroot%\system32\fxssvc.exe
[helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs
[HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter
[ImapiService] C:\WINDOWS\system32\imapi.exe
[iPodService] C:\Programme\iPod\bin\iPodService.exe
[lanmanserver] %SystemRoot%\system32\svchost.exe -k netsvcs
[lanmanworkstation] %SystemRoot%\system32\svchost.exe -k netsvcs
[LmHosts] %SystemRoot%\system32\svchost.exe -k LocalService
[MDM] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"
[Messenger] %SystemRoot%\system32\svchost.exe -k netsvcs
[MHN] %SystemRoot%\System32\svchost.exe -k netsvcs
[mnmsrvc] C:\WINDOWS\system32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\system32\msdtc.exe
[MSIServer] C:\WINDOWS\system32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\system32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[Nla] %SystemRoot%\system32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\system32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs
[NVSvc] %SystemRoot%\system32\nvsvc32.exe
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\system32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[PTBSync] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe /Service
[RasAuto] %SystemRoot%\system32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\system32\svchost.exe -k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService
[RpcLocator] %SystemRoot%\system32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\system32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs
[ScsiAccess] C:\WINDOWS\system32\ScsiAccess.EXE
[seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SharedAccess] %SystemRoot%\system32\svchost.exe -k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\system32\svchost.exe -k netsvcs
[SSDPSRV] %SystemRoot%\system32\svchost.exe -k LocalService
[stisvc] %SystemRoot%\system32\svchost.exe -k imgsvc
[SwPrv] C:\WINDOWS\system32\dllhost.exe /Processid:{F6830D55-F80E-4248-AE28-DC9FAC353D7A}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TermService] %SystemRoot%\System32\svchost -k DComLaunch
[Themes] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] C:\WINDOWS\system32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs
[UMWdf] C:\WINDOWS\system32\wdfmgr.exe
[upnphost] %SystemRoot%\system32\svchost.exe -k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs
[WebClient] %SystemRoot%\system32\svchost.exe -k LocalService
[winmgmt] %systemroot%\system32\svchost.exe -k netsvcs
[WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs
[WmiApSrv] C:\WINDOWS\system32\wbem\wmiapsrv.exe
[wscsvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[wuauserv] %systemroot%\system32\svchost.exe -k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs
[xmlprov] %SystemRoot%\System32\svchost.exe -k netsvcs


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


**** Complete IE Options ****

IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Start Page] about:blank
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] hover
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Use Custom Search URL]
IEOPT: [StatusBarOther]
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] no
IEOPT: [Force Offscreen Composition]
IEOPT: [Enable Browser Extensions] yes
IEOPT: [ShowGoButton] yes
IEOPT: [NoWebJITSetup]
IEOPT: [Friendly http errors] yes
IEOPT: [FavIntelliMenus] no
IEOPT: [NscSingleExpand]
IEOPT: [SmoothScroll]
IEOPT: [Page_Transitions]
IEOPT: [DisableScriptDebuggerIE] yes
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [AllowWindowReuse]
IEOPT: [UseThemes]
IEOPT: [Print_Background] no
IEOPT: [Expand Alt Text] no
IEOPT: [Move System Caret] no
IEOPT: [Play_Animations] yes
IEOPT: [Enable AutoImageResize] yes
IEOPT: [Enable_MyPics_Hoverbar] yes
IEOPT: [Show image placeholders]
IEOPT: [Play_Background_Sounds] yes
IEOPT: [Display Inline Videos] yes
IEOPT: [LastCheckedHi] T Ås
IEOPT: [Use FormSuggest] no
IEOPT: [Use Search Asst] no
IEOPT: [AddToFavoritesExpanded]
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] about:blank
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2524.0000
IEOPT: [FullScreen] no
IEOPT: [Default_Page_URL] http://de8.hpwis.com
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HijackThis:

Zitat

Logfile of HijackThis v1.99.0
Scan saved at 19:33:53, on 05.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGNT.EXE
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\TVgenial\TVgenial.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe
C:\DOKUME~1\BASTIAN_\EIGENE~1\DOWNLO~1\Pr0gz\Trillian\trillian.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Security\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PTBSync] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [TVgenial] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: AntiSchoner.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe
O4 - Startup: Trillian.lnk = ?
O4 - Startup: Verknüpfung mit Playlist1.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Eigene Musik\My Playlists\Playlist1.wpl
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098695436718
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Atomuhr Synchronisation - ElmüSoft - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\system32\ScsiAccess.EXE

Dieser Beitrag wurde am 05.02.2005 um 19:34 Uhr von Bastian editiert.
Seitenanfang Seitenende
05.02.2005, 19:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#59 Bastian

nun, es wird schon beser:

kopiere in die Killbox:
C:/WINDOWS/Downloaded Program Files/miniclipGameLoader.dll

neustarten

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

ja, poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2005, 19:47
Member

Beiträge: 12
#60 hmm wenn ich das in die killbox kopier mit delete file on reboot, dann kommt folgende meldung:

Zitat

PendingFileRenameOperations
PendingFileRenameOperations Registry Data has been Removed by External Process!
Außerdem gibts scheinbar vom clearprog ne neue version 1.4.1
die hab ich vorhin schon geladen und gestartet

das mit neue startseite hab ich ebenfalls schon ausgeführt
Seitenanfang Seitenende