Internet Explorer öffnet *http://69.20.56.3/yyy6.htm* h |
||
---|---|---|
#0
| ||
23.11.2004, 13:58
...neu hier
Beiträge: 2 |
||
|
||
25.11.2004, 11:26
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@FinalR_DX
öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file) O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [SrchfstUpdate] C:\WINDOWS\srchupdt.exe O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/d4n34.cab O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1026_EN_XP.cab O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_EN_XP.ca O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50183/QDow_AS2.cab O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} (Cltbuilder Class) - http://akamai.downloadv3.com/binaries/one2one/one2oneSvcEN.cab O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx O16 - DPF: {E302F157-A890-4B6F-A421-839D25055D6D} (NLSysInfo Control) - https://www.novaworld.com/NWCommunities/Beta/NLSysInfo.ocx O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_EN_XP.cab PC neustarten Lade: #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm <"I know what I'm doing" bringe die "lspak.dll" von der linken auf die rechte Seite und loesche sie. 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\Program Files\WindowsSA\omniscient.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. <C:\WINDOWS\srchupdt.exe <C:\WINDOWS\system32\srchfst.dll <C:\Program Files\WindowsSA\omniscienthook.dll <C:\Program Files\WindowsSA\libcurl.dll <C:\Program Files\WindowsSA\wsaupdater.exe Erst beim letzten klickst du "Yes" und startest den PC neu. ------------------------------------------------------------------------------ #öffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k --->ActiveX loeschen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. ActiveX-Controls Schalter Einstellungen Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen. Wenn "unbekannt dasteht...dann lösche es . (sind die 016 Eintraege im HijackThis...und fast alles Malware in deinem Fall) <Das (Erkennungstool...loescht nicht)eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die "kavupd.exe" suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen . ---------------------------------------------------------------------------- http://www.pestpatrol.com/PestInfo/s/search_assistant.asp http://www.pestpatrol.com/pestinfo/s/srchupdt.asp mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.11.2004 um 11:37 Uhr von Sabina editiert.
|
|
|
||
26.11.2004, 13:42
...neu hier
Themenstarter Beiträge: 2 |
||
|
||
17.02.2005, 12:36
...neu hier
Beiträge: 2 |
#4
Kannste mir auch helfen, hab das gleiche problem nur das die abstände kürzer sind ;(
Logfile of HijackThis v1.99.1 Scan saved at 12:27:03, on 17.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ANWEND~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\svchst.exe C:\WINDOWS\clfmon.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Program Files\AdTools Service\AdTools.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Anwendungen\DialerSchutz\DFInject.exe C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\ANWEND~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\ANWEND~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\alg.exe C:\Anwendungen\teamspeak2_RC2\TeamSpeak.exe C:\Game\World of Warcraft\WoW.exe C:\Program Files\AdTools Service\AdToolsKeep.exe C:\WINDOWS\system32\taskmgr.exe C:\Anwendungen\SpywareBlaster\spywareblaster.exe C:\Dokumente und Einstellungen\ChaosAngel\Desktop\HijackThis.exe C:\Anwendungen\FireFox\firefox.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\ANWEND~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\svchst.exe /i O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitegss32.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Anwendungen\DialerSchutz\Defender.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Anwendungen\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.download-url.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{47D2B874-86F0-4E11-B84F-550B8BFF5F0E}: NameServer = 217.237.150.141 217.237.150.97 O17 - HKLM\System\CS1\Services\Tcpip\..\{47D2B874-86F0-4E11-B84F-550B8BFF5F0E}: NameServer = 217.237.150.141 217.237.150.97 O18 - Filter: text/html - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file) O18 - Filter: text/plain - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Anwendungen\DialerSchutz\DFInject.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ANWEND~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Anwendungen\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\ANWEND~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
||
17.02.2005, 14:18
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo@FSAngel
Das ist eine schwere Verseuchung und wir muessen mit verschiedenen Tools arbeiten, um wirklich alle Malware zu erwischen. Mache bitte zuerst folgendes: Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.dhs.org/ reinkopieren: C:\WINDOWS\svchst.exe C:\windows\system32\elitegss32.exe C:\WINDOWS\System32\ap9h4qmo.exe poste mir unbedingt, was angezeigt wird. Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Meldung (Symantec)-- ignorieren Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs Doppelklick:regsrch.vbs kopiere rein: {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das machst du auch mit: {F0BC061F-DAF9-4533-8011-53BCB4C10307} LQ ohbbackup Elitum SvcH0st warten, bis die Suche beendet ist. (Ergebnis bitte posten) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\svchst.exe /i O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitegss32.exe O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.download-url.de/InstallationsAssistent.ocx O18 - Filter: text/html - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file) O18 - Filter: text/plain - {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} - (no file) PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot c:\windows\downloaded program files\InstallationsAssistent.ocx C:\WINDOWS\svchst.exe C:\windows\system32\elitegss32.exe C:\WINDOWS\System32\ap9h4qmo.exe C:\Program Files\AdTools Service\AdTools.exe C:\Program Files\AdTools Service\AdToolsKeep.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". PC neustarten eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> poste mir unbedingt, was angezeigt wird __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.02.2005 um 14:24 Uhr von Sabina editiert.
|
|
|
||
17.02.2005, 16:52
...neu hier
Beiträge: 2 |
#6
Also fangen wir an
C:\WINDOWS\svchst.exe C:\windows\system32\elitegss32.exe Sind beide infiziert laut dem tool. Registry Search Tool : 1. {D1828BA1-9AE3-4B03-A101-B83A4BF346B1} findet da nix 2. ; Registry search results for string "{F0BC061F-DAF9-4533-8011-53BCB4C10307}" 17.02.2005 16:47:15 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/InstallationsAssistent.ocx] ".Owner"="{F0BC061F-DAF9-4533-8011-53BCB4C10307}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/InstallationsAssistent.ocx] "{F0BC061F-DAF9-4533-8011-53BCB4C10307}"="" 3. ; Registry search results for string "LQ" 17.02.2005 16:48:56 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecabafca-7f19-11d2-978e-0000f8757e2a}\ProgID] @="QC.DLQListener.1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecabafca-7f19-11d2-978e-0000f8757e2a}\VersionIndependentProgID] @="QC.DLQListener" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{98133274-4B20-11D1-AB01-00805FC1270E}] @="INetInstallQueue" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener\CLSID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener\CurVer] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener\CurVer] @="QC.DLQListener.1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener.1] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QC.DLQListener.1\CLSID] [HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\Shockwave 10\uicontrol\cancelquestion] "NISShared"="AQKOiqF6t@Mw1s)0!x'@k-%sRrY{&A8&5Dd1Efp!y&V0t$bfb?4i, 7@h$ouad,jv=]1yq=43m8jDVWW4e]waP7eum@bfwK%jz9'!^X=BgA2v0@lQv& IEBPET,Sb~hB=JX@YiiKJKaqrUdx,0Yvd.k8MP0D^9]$b7t'a{cGtLa9]t+~1Sy)Y^S =vPrE9ur92lCx7CtE~50VHbecnG5==Lzuv91}'9hJbQspf'5=v,==OGT+DTQ2V6rd Wzo=6@ZC(W[tw+2`{,cas}[9$kI2T,3Y_m$Ac_U2$A[=L}GK+45rAL1u=uNK-? (=t[!N)QIr65]zB)xp~^A?xt?KdK_9(W$ozI68YHh8hdR06rgv'!Complete" "NISShared"="AQKOiqF6t@Mw1s)0!x'@k-%sRrY{&A8&5Dd1Efp!y&V0t$bfb?4i, 7@h$ouad,jv=]1yq=43m8jDVWW4e]waP7eum@bfwK%jz9'!^X=BgA2v0@lQv& IEBPET,Sb~hB=JX@YiiKJKaqrUdx,0Yvd.k8MP0D^9]$b7t'a{cGtLa9]t+~1Sy)Y^S= vPrE9ur92lCx7CtE~50VHbecnG5==Lzuv91}'9hJbQspf'5=v,==OGT+DTQ2V6rdWzo =6@ZC(W[tw+2`{,cas}[9$kI2T,3Y_m$Ac_U2$A[=L}GK+45rAL1u=uNK-?(=t[!N)Q Ir65]zB)xp~^A?xt?KdK_9(W$ozI68YHh8hdR06rgv'!Complete" "CCShared"=")!?jwq.+d?)*UA7'yj5ooLeGKUnNy?BYS&1}-uwU8t~jtJv?l9%^X5^ {M,-KqTwah+DLQA}ogL1_$Tt0qHqxfJth098DU1Xw_@L2j8]IF^!C~=!9Dv&!DBqzfyllez@ =5Ag.r)!{)tm2Jz*(,Gy.c=]@K^$*BB(EComplete" "NSW_Retail_Help"="le6n8fPR^@mSyZjvOw[oU4tCQiL7&9%%Q(UtM2cGHV_!4VQT+= 6&n[wp{v93rI^4c}ND.?88rH7t)p1upmA5wvIdcAG[zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%? 5xILM1~G6Pxspf..n4r@uW3F^W}yq@GKZ`Gj?5v?)+KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6} @m`z5E${7$xW+A5?X?UMT@r?ENxt_iOO6{N@EO(K!YK?j+qvmyz9OKI9W&+@DS!a2@V@ZDRC42i= 2~wz=D1sV?$UiqA[Hv,=hVFOy{y.QCH'pb]I[cK@(*zu!kQGJEEbMre$pbS?}ZzTgL~E'8L]J1,Od=j8-t (PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u}(+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4) `h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm{!R[P&-wwW19nHdM6ge~bZSMhxVUv269$~5T=NE} (dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C-NCCRHH7)[r1)(w-xw=PAf}Fw{Zd-rdVp*] VW2@lz^nt.=Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o =Gb31~G9H(ABmiH+Y3AwaVN[IjKw!7QiEk2qPe?ABbdx77mM9KOgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp) DEH7u..D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoK Auu=$Qxy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y?~BLCR(v)T= EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N .xgqC5Y&`H~W(gc])P9bzUzM[Bcr]Dn~u,.7.$@Vq.$NfQG^ZP4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&g" "NSW_Pro_Help"="le6n8fPR^@mSyZjvOw[oU4tCQiL7&9%%Q(UtM2cGHV_!4VQT+=6&n[wp{v93rI^4c}ND .?88rH7t)p1upmA5wvIdcAG[zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F^W} yq@GKZ`Gj?5v?)+KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5E${7$xW+A5?X?UMT@r?ENxt_iOO6 {N@EO(K!YK?j+qvmyz9OKI9W&+@DS!a2@V@ZDRC42i=2~wz=D1sV?$UiqA[Hv,=hVFOy{y.QCH'pb]I[cK@ (*zu!kQGJEEbMre$pbS?}ZzTgL~E'8L]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u}(+Lq!EFi7 ?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)`h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm{!R[P&-wwW19nH dM6ge~bZSMhxVUv269$~5T=NE}(dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C-NCCRHH7)[r1 )(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.=Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk @7T@f]J?@d'g&D9o=Gb31~G9H7QiEk2qPe?ABbdx77mM9KOgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u. .D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Q xy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y?~BLCR(v)T=EfdQ4zyR0x~`B2Wg! EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N.xgqC5Y&`H~W(gc])P9bzUzM [Bcr]P4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&gpcsv7Hq-?A,`V,$ZY&Uu" "NSW_Trialware_Help"="le6n8fPR^@mSyZjvOw[obK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F ^W}yq@GKZ`Gj?5v?)+KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5E${7$xW+A5?X?UMT@r?ENxt_ iOO6{N@EO(K!YK?j+$UiqA[Hv,=hVFOy{y.QCL]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u} (+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)`h@SXbZGEVM{A5~8x}chrN`I!{R[P&-wwW19nHdM6ge~bZSMhx VUv269$~5T=NE}(dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_[r1)(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.= Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o=Gb31~G9H(ABmiH+ Y3AwaVN[IjKw!7QiEk2qPe?ABbdx77mM9KOgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u..D{+@G~0t@ (h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Qxy9bm,3A{% Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y?~BLCR(v)T=EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge `ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N.xgqC5Y&`H~W(gc])P9bzUzM[Bcr]Dn~u,.7. $@Vq.$NfQG^ZP4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&g" "NSW_CTO_Help"="U4tCQiL7&9%%Q(UtM2cGHV_!4VQT+=6&n[wp{v93rI^4c}ND.?88rH7t)p1upmA5wvIdcAG [zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F^W}yq@GKZ`Gj?5v?)+KoiPd!4Wbn) fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5Ext_iOO6{N@EO(K!YK?j+qvmyz9OKI9W&+@DS!a2@V@ZDRC42i=2 ~wz=D1sV?H'pb]I[cK@(*zu!kQGJEEbMre$pbS?}ZzTgL~E'8L]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8 $6HTl9@]4u}(+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)`h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm {!R[P&-wwW19nHdM6ge~bZSMhxVUv269$~5T=NE}(dtt1Ih2[,H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C- NCCRHH7)[r1)(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.=Erg08zG&77{D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]` H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o=Gb31~G9H(ABmiH+Y3AwaVN[IjKw!7QiEk2qPe?ABbdx77mM9KOgQexQ%s @*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u..D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_o5EpMkA@ Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Qxy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd}6Y? ~BLCR(v)T=EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N .xgqC5Y&`H~W(gc])P9bzUzM[Bcr]P4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&gpcsv7Hq-?A,`V,$ZY&Uu" "NSW_ESD_Help"="le6n8fPR^@mSyZjvOw[oU4tCQiL7&9%%Q(UtM2cGHV_!4VQT+=6&n[wp{v93rI^4c}ND.?88rH7t) p1upmA5wvIdcAG[zQe-OaX.bK[Rgsa,r9`OUvNBV{I?l!!81Jij%?5xILM1~G6Pxspf..n4r@uW3F^W}yq@GKZ`Gj?5v?)+ KoiPd!4Wbn)fiiKhi8,UO@C(fLx?L@pO?iazr=&c6}@m`z5E${7$xW+A5?X?UMT@r?ENxt_iOO6{N@EO(K!YK?j+qvmyz9 OKI9W&+@DS!a2@V@ZDRC42i=2~wz=D1sV?$UiqA[Hv,=hVFOy{y.QCH'pb]I[cK@(*zu!kQGJEEbMre$pbS?}ZzTgL~E' 8L]J1,Od=j8-t(PeDx~w`L),FCwaKR@Fg-IEU$-6h)%8$6HTl9@]4u}(+Lq!EFi7?7U7v1Ake%vS)[%$Re&n[7!6~s?il4)` h@SXbZGEVM{A5~8x}chrN`I!{tQ=_piDldAa?jpraxm{!R[P&-wwW19nHdM6ge~bZSMhxVUv269$~5T=NE}(dtt1Ih2[, H@s{hvdWotkQ$!E]-{EXt8xjE[4v&8{_'.`-Ur~&V?C-NCCRHH7)[r1)(w-xw=PAf}Fw{Zd-rdVp*]VW2@lz^nt.=Erg08zG&77 {D9Cc_tqv_WUBb*(zQ3JD+9^grlP6!`]`H]D6{!baI@zKfgk@7T@f]J?@d'g&D9o=Gb31~G9H7QiEk2qPe?ABbdx77mM9K OgQexQ%s@*ZiuN=f1[a8.r~=VZGV?.oTz6cVp)DEH7u..D{+@G~0t@(h$mxH,9IB5D)O?BH[lr'PJF-EoXO_hj0y80}RSt=D_ o5EpMkA@Uz(A[0W$Hi@mr0_p1`BayoKAuu=$Qxy9bm,3A{%Qnyv=n0X(fCOkKO]I'62-)Of9?^hH3?0Ci!3'WU_fmk[AU5G8Dd} 6Y?~BLCR(v)T=EfdQ4zyR0x~`B2Wg!EaA+Hip?$ge`ADsMmSq3Ee96?f3_v`yWky5S8[bS3h9UKhf%Rz}Om_*B'HX[(8@N.xgqC 5Y&`H~W(gc])P9bzUzM[Bcr]Dn~u,.7.$@Vq.$NfQG^ZP4X-9V-K'?0M+_T&a-M1T+3T[S)HD@AIcc]{Oj&g" "NCS_Core"="EPI$6z(@C@}_'H*_)6FBJD}!pMk!.A89vZ[c9@AOBU$S)zEuA?9b'.u~hX7H}AK@O6?N]?=sJnxNB4_= 2lGK@6GoJ?6T+[*0H2$DX28HbZ!Hg=BT%&CTrL6I4EUuW)&v$=xM$iu9e8DVShHh@`~Zd?O{1DT*px(rC$LCg*V%T@l?] =SHlQyaye+Z66K*i?qG*q*t+z~we}mNFh&=19}t%f6T6}Gt*cMW!IKO{=4TKYL-1s^MbQfAZOQxz?`@azB{9K?r2Y{OrdQgA ?g3CMH}rg'hmI5OmUs$A?E4{LZN0eEG*r!sfmpj2?A.d_k4xWyx9zpF(5`yO@kiIAZjT'eKV*n?WkHoY8E`Di8mi3t6Z,OYNRzR?@ ptExFdsgPQE,vV(97Fy8Zh^Y6_&5_&JzB7QBpX-@ZO`4G!11{zFSZCww$w7=~sxV9Vel3L*YdOJ^wy7?m}!PaDWF(Nx%nIdS@ l&Azz]BdB{0d6REd]H9P3c=!==aC@}=-p4{Jk-PtDR=gqm0_^XIhs}CUjo~Wzw9[zA@ql6M!izj2I4Vz{6@92K,5v&Bb`3wzAV'* [4?LY?~N9ftn`Norton_CleanSweep" "Erynis_Beta_Files"="U6(i?`diI9p8)fj7@`yEDwu$_vXSk@0F09W9YtpBUGDo2&b`5?!wKCz, {C+NAVO'Ivk@D9^%I1%]V0Ta+`(),o._O=zJ-a*cFmG'@8aH+'j}!?L~Or6_n[n?v*78odB*a8YuvB-] ^ZOK2Ilv)Kp[[9=1~spGyH1u^R?fAsg}%=K,CU?3Phs&e-FuO2Ir(9SlR&R(o]M@RL1KLrJxf=,tie1!46&= KDEaXhmcE9SwS{mwbJi7+{.Ua]BLXAO-kq5z$~*+mnu_oX28Y?dmmh_$NuloK&HFPZSSz@~XBPJ%+SAX [^dTVrpE8AJ%G^w'ONI=Q3!PM=JvS@CUAGN^QzuWYe[$T6Ryh@9d%vHNiB({``ja2sEZD@qX=P%WdZXj [ZnSf{~F&@d@=ND]RU-j)~r2nj'fi?H5U64{vJ}jl!~tY]mD==02R3S1chvpokhCgAyb?9R(~O]}G8lyp),ESPGnTAA[ -cuHqFslS2Z,G?YVj@'d%Gt.V?}qx^7Foy`H*9FSu4ZM*tY[]shi^cJkv@5d(ITXz0Y,NsJ=!bkwx?WVA6g.`jN+}KZ ,$,d5$?x4u)hUYt5O?zR_MltCCAHoI?Zjei[ddu(~,89k3@9sA6x8=zbB!(plQah$[=^Z~7xKbWxFjL(wo^WD+AM=&& .K*2=Lk)n$8iJHa?Xov]8!+OD[GN1SoBI0Q?e%l%-75JyrDDs!1e4^~@(AX9[R~?TwbDbG*Da(V@Ra)Q(jsUnC(Gt*s'- y(9Rr&a@?f++f+5$Oi3'wd8mNsS6wJT9B2rP]qdp73AQAaI=xAC9V?k1mx7YAN?P7kcP8uw}D~luYZ]2ie81 ja%$]T3}beUMN5iEg*Ay{Ex+^xf[jBE0pa(@Vj8v}daSe=$~4S%05xQvU3?Nh$C_fVjz8Nb}Si%]G9A.@$vs8 ]l_bZ%vpWNg.(@^rq_7[@@.7Cnd8%{BqP?94Z%H]F9`uq~44JzP&HAsG`{q5MP.1i1u4Ecfls9@,Om1CY6Kk" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management] "NonPagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management] "PagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management] "NonPagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management] "PagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] "NonPagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] "PagedPoolQuota"=dword:00000000 [HKEY_USERS\S-1-5-21-73586283-1563985344-854245398-1004\Software\LQ] [HKEY_USERS\S-1-5-21-73586283-1563985344-854245398-1004\Software\Macromedia\Shockwave 10\uicontrol\cancelquestion] 4. ; Registry search results for string "ohbbackup" 17.02.2005 16:49:49 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup] [HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup\EliteSideBar] [HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup\EliteToolBar] 5. ; Registry search results for string "Elitum" 17.02.2005 16:50:45 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Elitum] [HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteSideBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteToolBar] Und das letzte hat er nix gefunden Hoffe du blickst da durch ich schreib gleich weiter, Alles bis zum letzten tool gemacht : File C:\WINDOWS\clfmon.exe infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken. File C:\WINDOWS\clfmon.exe infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken. File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken. File C:\WINDOWS\wsem303.dll infected by "Trojan-Downloader.Win32.Dyfuca.dt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitebht32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitecar32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitecdx32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitedcp32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitedoolsav.dat infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\eliteerror32.dat infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitefba32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\eliteonr32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\eliterct32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitersv32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitesij32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitevpl32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitexdk32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitezio32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\elitezzi32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\q17i9a4j.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\qh4mkbv9.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken. File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken. File C:\WINDOWS\wsem303.dll infected by "Trojan-Downloader.Win32.Dyfuca.dt" Virus. Action Taken: No Action Taken. Könnten mehr sein aber mein Rechner stürtz dauernd ab, ohne eine fehlermeldung nix.. er bleibt einfach stehen und reagiert netmehr ;( Dieser Beitrag wurde am 18.02.2005 um 10:59 Uhr von Sabina editiert.
|
|
|
||
18.02.2005, 10:27
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@FSAngel
Start<Ausfuehren<regedit: setze den Wert wieder : [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management] "NonPagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management] "PagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management] "NonPagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Session Manager\Memory Management] "PagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] "NonPagedPoolQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management] "PagedPoolQuota"=dword:00000000 AntiVir TR/Dldr.Agent.GD.1 (0.70 seconds taken) Avast No viruses found (3.03 seconds taken) AVG Antivirus No viruses found (1.54 seconds taken) BitDefender Trojan.StartPage.NK (0.87 seconds taken) ClamAV Trojan.Startpage-212 (0.83 seconds taken) Dr.Web Trojan.Click.233 (0.84 seconds taken) F-Prot Antivirus No viruses found (0.20 seconds taken) Fortinet No viruses found (0.39 seconds taken) Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (0.99 seconds taken) mks_vir Trojan.Startpage.Nk (0.21 seconds taken) NOD32 Win32/StartPage.NK (0.46 seconds taken) Norman Virus Control Sandbox: W32/Malware; [ General information * Creating several executable files on hard-drive. * File length: 15872 bytes. [ Changes to filesystem ] * Creates file C:\windows\system\elitenun32.exe. * Creates directory C:\WINDOWS\EliteToolBar. * Creates file C:\WINDOWS\TEMP\tmp9099.tmp. * Creates file C:\WINDOWS\SYSTEM\eliteerror32.dat. [ Changes to registry ] * Creates key "HKCU\Software\LQ". * Creates key "HKLM\Software\ohbbackup". * Creates key "HKLM\Software\Elitum". * Sets value "AD"="0" in key "HKCU\Software\LQ". * Sets value "AC"="0" in key "HKCU\Software\LQ". * Sets value "U"="0" in key "HKCU\Software\LQ". * Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ". * Sets value "TM"="10" in key "HKCU\Software\LQ". * Creates value "antiware"="c:\windows\system\elitenun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Downloads file from **http://update32.searchmiracle.com/update.php?0&c=L&os=XP&init=1&id={000000-0000-000000&v=3.2&country=&state=&city=* as C:\WINDOWS\TEMP\tmp9099.tmp. [ Process/window information ] * Creates a mutex l4ajgfGb. * Enumerates running processes. * Enumerates running processes several parses.... * Modifies other process memory. * Creates a remote thread. * Will automatically restart after boot (I'll be back...). (1.56 seconds taken) _______________________________________________________________________________ Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.dhs.org/ reinkopieren: C:\windows\system32\elitegss32.exe poste mir unbedingt, was angezeigt wird.--> abkopieren !!!!!!!!!!!!! #Gehe auf diese Seite: http://www.lavasofthelp.com/submit/ melde dich an und kopiere in das Fenster "Submission File": nacheinander alle diese Dateien: C:\WINDOWS\clfmon.exe C:\WINDOWS\system32\elitebht32.exe C:\WINDOWS\system32\elitecar32.exe C:\WINDOWS\system32\elitecdx32.exe C:\WINDOWS\system32\elitedcp32.exe C:\WINDOWS\system32\elitedoolsav.dat C:\WINDOWS\system32\eliteerror32.dat C:\WINDOWS\system32\elitefba32.exe C:\WINDOWS\system32\eliteonr32.exe C:\WINDOWS\system32\eliterct32.exe C:\WINDOWS\system32\elitersv32.exe C:\WINDOWS\system32\elitesij32.exe C:\WINDOWS\system32\elitevpl32.exe C:\WINDOWS\system32\elitexdk32.exe C:\WINDOWS\system32\elitezio32.exe C:\WINDOWS\system32\elitezzi32.exe C:\WINDOWS\system32\q17i9a4j.exe C:\WINDOWS\system32\qh4mkbv9.dll KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot--> anhaken kopiere rein: C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx C:\WINDOWS\svchst.exe C:\windows\system32\elitegss32.exe C:\WINDOWS\System32\ap9h4qmo.exe C:\WINDOWS\clfmon.exe C:\WINDOWS\70tovmto.exe C:\WINDOWS\wsem303.dll C:\WINDOWS\system32\elitebht32.exe C:\WINDOWS\system32\elitecar32.exe C:\WINDOWS\system32\elitecdx32.exe C:\WINDOWS\system32\elitedcp32.exe C:\WINDOWS\system32\elitedoolsav.dat C:\WINDOWS\system32\eliteerror32.dat C:\WINDOWS\system32\elitefba32.exe C:\WINDOWS\system32\eliteonr32.exe C:\WINDOWS\system32\eliterct32.exe C:\WINDOWS\system32\elitersv32.exe C:\WINDOWS\system32\elitesij32.exe C:\WINDOWS\system32\elitevpl32.exe C:\WINDOWS\system32\elitexdk32.exe C:\WINDOWS\system32\elitezio32.exe C:\WINDOWS\system32\elitezzi32.exe C:\WINDOWS\system32\q17i9a4j.exe C:\WINDOWS\system32\qh4mkbv9.dll C:\WINDOWS\70tovmto.exe C:\WINDOWS\wsem303.dll und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". PC neustarten C:\WINDOWS\TEMP\--> suche und loesche Datein: tmp #öffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < lösche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein #BitDefender Scan www.bitdefender.com/scan/Msie/index.php + poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.02.2005 um 11:18 Uhr von Sabina editiert.
|
|
|
||
Bei mir öffnet sich immer alle 5-10 Minuten ein Fenster des Internet-Explorers,ohne dass ich ihn benutze, z.b. wenn ich Half Life 2 spiele oder so. Diese haben meisten eine der folgenden Adressen: http://69.20.56.3/yyy6.html. Ich hab alles versucht um was immer es ist loszuwerden. (Norton 2004 ; Spybot; AdAware)
Und da woll ich fragen ob einer der mehr Peilung hat als ich mal den Hijackthis Log durchforsten kann.
Logfile of HijackThis v1.98.2
Scan saved at 13:57:43, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\EA GAMES\AceGain LiveUpdate\LiveUpdate.exe
C:\Programme\LIUtilities\WinTasks\wintasks.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\TerraTec\Mystify Ware 1.0\MOUSE32A.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\DitExp.exe
C:\Programme\EA GAMES\AceGain LiveUpdate\aceagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\finalralph\Eigene Dateien\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\EA GAMES\AceGain LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [WinTasks Traybar] C:\Programme\LIUtilities\WinTasks\wintasks.exe traybar
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1031
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\TerraTec\Mystify Ware 1.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SrchfstUpdate] C:\WINDOWS\srchupdt.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/d4n34.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1026_EN_XP.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_EN_XP.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50183/QDow_AS2.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab
O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} (Cltbuilder Class) - http://akamai.downloadv3.com/binaries/one2one/one2oneSvcEN.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E302F157-A890-4B6F-A421-839D25055D6D} (NLSysInfo Control) - https://www.novaworld.com/NWCommunities/Beta/NLSysInfo.ocx
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
O16 - DPF: {F72BC3F0-6C20-4793-9DDA-258589D8A907} - http://akamai.downloadv3.com/binaries/IA/netslv32_EN_XP.cab
Vielen Dank schon mal!!!
Ralph