Tr/spy.tofger.bi.2 + Tr/agen.cd.2 |
||
|---|---|---|
| #0
| ||
|
23.11.2004, 17:45
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
23.11.2004, 18:46
Moderator
Beiträge: 7805 |
#2
Funktioniert das im abgesicherten Modus nicht? Und wo genau wird dieser Trojaner gefunden? Im Zweifelsfalle bitte ein Hijackthis Log posten.
http://board.protecus.de/t9391.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.11.2004, 08:19
...neu hier
Themenstarter Beiträge: 9 |
#3
Hier mein HiJackThis Log file
Logfile of HijackThis v1.98.2 Scan saved at 17:42:34, on 23.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\IEDriver\IEDriver.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\yrlaht.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\RFA\rfagent.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe D:\GAMES\Valve\Steam\Steam.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {EB3F1F3A-312D-1F0B-BE12-33935E41A208} - C:\WINDOWS\system32\atlnq32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [IEDriver] C:\WINDOWS\System32\IEDriver\IEDriver.exe O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RFAgent] C:\Programme\RFA\rfagent.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\yrlaht.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O11 - Options group: [CommonName] CommonName O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{6417D2D9-7D65-4C9A-BE3A-83F55F8E0747}: NameServer = 217.237.150.97 217.237.149.161 O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} |
|
|
|
|
|
|
24.11.2004, 12:18
Moderator
Beiträge: 7805 |
#4
Fix bitte mal folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bijfi.dll/sp.html#11111 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {EB3F1F3A-312D-1F0B-BE12-33935E41A208} - C:\WINDOWS\system32\atlnq32.dll O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/InstallationsAssistent.ocx Dann mal die "Commen Name " Toolbox entfernen http://www.commonname.com/english/ug/toolbar/default.asp?idx=10#4 neu starten und ein neues Log posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.11.2004, 15:56
...neu hier
Themenstarter Beiträge: 9 |
#5
Logfile of HijackThis v1.98.2
Scan saved at 15:55:11, on 24.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\IEDriver\IEDriver.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\yrlaht.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\RFA\rfagent.exe D:\GAMES\Valve\Steam\Steam.exe C:\WINDOWS\system32\mfcbu.exe C:\WINDOWS\system32\iepo32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Winamp\winamp.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\freecell.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\nxpof.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\nxpof.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\nxpof.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\nxpof.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [IEDriver] C:\WINDOWS\System32\IEDriver\IEDriver.exe O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [RFAgent] C:\Programme\RFA\rfagent.exe O4 - HKLM\..\Run: [iepo32.exe] C:\WINDOWS\system32\iepo32.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\yrlaht.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O11 - Options group: [CommonName] CommonName O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{6417D2D9-7D65-4C9A-BE3A-83F55F8E0747}: NameServer = 217.237.150.97 217.237.149.161 O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} P.S. Wo finde ich diese "Common Name" Toolbar??? P.P.S. Vielen Dank für die riesige Unterstüzung bis hier hin. |
|
|
|
|
|
|
24.11.2004, 16:06
Moderator
Beiträge: 7805 |
#6
Hier solltest du erfahren, wie du ihn los werden kannst:
http://www.commonname.com/english/ug/toolbar/default.asp?idx=10#4 Ich habe etwas Probleme ddamit, es via hijackthis zu loeschen, da Hijackthis nicht immer "O10"er Eintraege zuverlaessig loescht. Du kannst auch versuchen, ob Adaware oder Spybot ihn loeschen koennen. by the way: Es waere nett, wenn du folgende Dateien an virus@protecus.de schicken koenntest: C:\WINDOWS\system32\mfcbu.exe C:\WINDOWS\system32\iepo32.exe C:\WINDOWS\System32\yrlaht.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.11.2004, 17:06
...neu hier
Themenstarter Beiträge: 9 |
#7
Ich bin aber noch nicht sauber
Ich habe eben wieder eine Virusmeldung bekommen. Hier nochmals mein Log-file: Logfile of HijackThis v1.98.2 Scan saved at 16:57:49, on 24.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\IEDriver\IEDriver.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\yrlaht.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\RFA\rfagent.exe C:\WINDOWS\system32\mfcbu.exe C:\WINDOWS\system32\iepo32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Winamp\winamp.exe C:\WINDOWS\explorer.exe C:\Programme\AVPersonal\AVGUARD.EXE D:\GAMES\Valve\Steam\Steam.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {BECE72BE-83C0-99CC-0D46-FA326241044D} - C:\WINDOWS\system32\ntwc32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [IEDriver] C:\WINDOWS\System32\IEDriver\IEDriver.exe O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [RFAgent] C:\Programme\RFA\rfagent.exe O4 - HKLM\..\Run: [iepo32.exe] C:\WINDOWS\system32\iepo32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\yrlaht.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O11 - Options group: [CommonName] CommonName O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{6417D2D9-7D65-4C9A-BE3A-83F55F8E0747}: NameServer = 217.237.150.97 217.237.149.161 O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} Die Dateien die du wolltest sind nicht mehr da, bzw. nur die C:\WINDOWS\System32\yrlaht.exe und die ging net zu schicken  Habe die jetzt gelöscht, samt yrlaht.dat |
|
|
|
|
|
|
24.11.2004, 17:11
...neu hier
Themenstarter Beiträge: 9 |
#8
P.S. Folgende Datei: WINHLP32.exe:OPJDZ
|
|
|
|
|
|
|
24.11.2004, 18:26
Moderator
Beiträge: 7805 |
#9
Na, ich sehe wohl, wir muessen doch haertere Geschuetze auffahren, denn du bist ueberhaupt nicht "saube", bzw dein Rechner ist es nicht.
Fix mal bitte folgendes, auf eigene Gefahr: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rhxoz.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file) O2 - BHO: (no name) - {BECE72BE-83C0-99CC-0D46-FA326241044D} - C:\WINDOWS\system32\ntwc32.dll O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [IEDriver] C:\WINDOWS\System32\IEDriver\IEDriver.exe O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [iepo32.exe] C:\WINDOWS\system32\iepo32.exe O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\yrlaht.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O11 - Options group: [CommonName] CommonName O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} Starte neu und lasse Escan die als infiziert gemeldeten Dateien loeschen. Das werden einige sein: http://www.rokop-security.de/board/index.php?showtopic=3867 Was meinstest du mit "P.S. Folgende Datei: WINHLP32.exe:OPJDZ" ? Sieht auf jeden fall nach einer Trojandownloader.Agent Variante an, die sich im ADS "Verkrochen" hat. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
25.11.2004, 11:16
...neu hier
Themenstarter Beiträge: 9 |
#10
So ja ist ein Trojanerdownload.Agent
Was mache ich da? Wenn der TR/Spy.Tofger.BI.2 wieder kommt, dann ist diese Datei infiziert: C:\Windows\WINHLP32.exe:OPJDZ Der Trojanerdownload.Agent kann man schwer bestimmen, momentan ist mein System sauber, sobald ich surfe, dann habe ich wieder ca. 20 Stück auf meinem System. |
|
|
|
|
|
|
25.11.2004, 11:16
...neu hier
Themenstarter Beiträge: 9 |
#11
Hier noch mal mein Log-file:
Logfile of HijackThis v1.98.2 Scan saved at 11:13:57, on 25.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\mfcbu.exe C:\Programme\RFA\rfagent.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\iepo32.exe C:\WINDOWS\explorer.exe C:\DOKUME~1\Admin\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Admin\LOKALE~1\Temp\kavss.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {209F8E8B-6292-6C42-3CE2-9DCDECC213E7} - C:\WINDOWS\system32\ieto.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [RFAgent] C:\Programme\RFA\rfagent.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup O4 - HKLM\..\Run: [iepo32.exe] C:\WINDOWS\system32\iepo32.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O10 - Hijacked Internet access by CommonName O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{6417D2D9-7D65-4C9A-BE3A-83F55F8E0747}: NameServer = 217.237.150.97 217.237.149.161 |
|
|
|
|
|
|
25.11.2004, 11:30
...neu hier
Themenstarter Beiträge: 9 |
#12
Das sagt eScan:
File C:\PROGRA~1\COMMON~1\Toolbar\CNMib.dll tagged as not-a-virus:AdWare.ToolBar.CommonName.a. No Action Taken. File C:\WINDOWS\System32\grvxp.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\gulbx.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\ynzgw.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken. Diese TrojanDownloader kommen immer wieder was soll ich machen? Dieser Beitrag wurde am 25.11.2004 um 12:02 Uhr von Sabina editiert.
|
|
|
|
|
|
|
25.11.2004, 11:50
Ehrenmitglied
 Beiträge: 29434 |
#13
Hallo@DFence
Lade: #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm <"I know what I'm doing" bringe die "CNMib.dll" von der linken auf die rechte Seite und loesche sie. ------------------------------------------------------------------------------ 1.Schritt: xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip <"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken...noch nicht aktivieren......ALLERDINGS .....falls du schon mit einem Administratorenkonto surfst..kannst du es gleich aktivieren --> http://d21c.com/Tom41/?D=A <AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen --> www.malwarebytes.biz/AboutBuster.zip <AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen. --> http://www.lavasoft.de/support/download/ 2. Schritt: #Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl ein --> services.msc suche und deaktiviere: Network Security Service (NSS) -->(Service Status" klick "Stop" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gulbx.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file) O2 - BHO: (no name) - {209F8E8B-6292-6C42-3CE2-9DCDECC213E7} - C:\WINDOWS\system32\ieto.dll O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup O4 - HKLM\..\Run: [iepo32.exe] C:\WINDOWS\system32\iepo32.exe 3. Schritt: PC neustarten..und <gehe in den abgesicherten Modus (falls du schon mit einem Administratorenkonto surfst ...was strikt "verboten" ist, dann brauchst du nicht in den abgesicherten Modus zu gehen) http://www.tu-berlin.de/www/software/virus/savemode.shtml #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen 4.Schritt: loesche: C:\WINDOWS\system32\iepo32.exe C:\WINDOWS\system32\mfcbu.exe C:\WINDOWS\system32\ieto.dll C:\WINDOWS\System32\grvxp.dll C:\WINDOWS\System32\gulbx.dll C:\WINDOWS\System32\ynzgw.dll 5. Schritt: Füge cwsfix.reg" + "cwsserviceremove.reg durch "yes" der Registry bei und scanne mit AboutBuster und AdAware. (zweimal scannen) 6.Schritt: mache ebenfalls im abgesicherten Modus: Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k -->Scanne noch mal mit eScan (alles im abgesicherten Modus) 7.Schritt: Dann stelle unter "Internetoption" eine neue Startseite ein und poste das Log noch mal. ----------------------------------- Tip: Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.11.2004 um 12:01 Uhr von Sabina editiert.
|
|
|
|
|
|
|
25.11.2004, 17:58
...neu hier
Themenstarter Beiträge: 9 |
#14
So endlich mit allem fertig, ich hoffe ich bin die Viren los.
Hier mein Log-file Bericht. Danke für die Hilfe. Meldet euch bitte wenn etwas nicht stimmen sollte. Logfile of HijackThis v1.98.2 Scan saved at 17:56:16, on 25.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\RFA\rfagent.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\mshe32.exe C:\WINDOWS\hh.exe:rstzb C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\skatx.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\skatx.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\skatx.dll/sp.html#37049 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {6824A711-0D9B-543C-AEA6-1F3DD4847F3E} - C:\WINDOWS\system32\mfcqk.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [RFAgent] C:\Programme\RFA\rfagent.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup O4 - HKLM\..\Run: [mshe32.exe] C:\WINDOWS\mshe32.exe O4 - HKLM\..\RunOnce: [rstzb] C:\WINDOWS\hh.exe:rstzb O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll |
|
|
|
|
|
|
25.11.2004, 18:29
Moderator
Beiträge: 7805 |
#15
Zitat .........lasse Escan die als infiziert gemeldeten Dateien loeschen. Das werden einige sein: __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Habe diese zwei Trojaner drauf und bekomme die nicht runter. Was soll ich machen?
Bitte um Hilfe