Home » Viren, Trojaner & Malware Forum » Downloader.small.7.az (AVG) + TR/Click.Small.CG (AV Personal) » Themenansicht
Downloader.small.7.az (AVG) + TR/Click.Small.CG (AV Personal) |
||
|---|---|---|
| #0
| ||
|
25.12.2004, 19:01
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
25.12.2004, 19:32
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@visual_75
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\system32\msacmx.dll O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe -->TrojanDownloader.Win32.Agent.dh O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe" O15 - Trusted Zone: http://*.63.219.181.7 1) lade rem.zip Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml -->starte die datei rem.bat, scannen lassen. #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Loesche: <C:\Program Files\Windows ControlAd <----(komplett loeschen) <C:\WINDOWS\system32\golumm <------(komplett loeschen) Deinstalliere:C:\Programme\WareOut (dann alles loeschen, was du noch findest) C:\Programme\WareOut Wareout.exe, setvers.exe, tksvr99.exe, snnpapi.dll, snnpapi.exe, ifcfg.exe, scands32.exe, wosysdll.dll 5) starte den rechner anschließend im normalen modus. ---------------------------------------------------------------------------- Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche (komplett) *http://*.63.219.181.7* gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein und : 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.12.2004 um 19:56 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.12.2004, 11:46
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo,
ich habe die Schritte gerade durchgeführt und hier sind nun die Auswertungen: Logfile vom rem.bat: **************************** Files Found................. ---------------------------------------- clfmon.exe dllhostxp.exe rdshost32.exe winsrv32.dll d3dxov.dll msacmx.dll hdr.dll subsys.exe dnsping.exe unlodctl.exe qappsrvc32.exe openconf.exe nlsfuncs.exe dx9vbc.dll dnsauth.dll taskopen.exe Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files] "service.exe"="" "msacmx.dll"="" "d3dxov.dll"="" "winsrv32.dll"="" "ie4unit.exe"="" "ipxroutex.exe"="" "rdshost32.exe"="" "rshe.exe"="" "net2.exe"="" "mqsvch.exe"="" "dllhostxp.exe"="" "extrac16.exe"="" "mqbckup.exe"="" "pxhping.exe"="" "rdpnr.exe"="" "slservc.exe"="" "clfmon.exe"="" "hdr.dll"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes] "ie4unit.exe"="" "ipxroutex.exe"="" "service.exe"="" "rdshost32.exe"="" "rshe.exe"="" "net2.exe"="" "mqsvch.exe"="" "dllhostxp.exe"="" "extrac16.exe"="" "mqbckup.exe"="" "pxhping.exe"="" "rdpnr.exe"="" "slservc.exe"="" "clfmon.exe"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys] "{98DBBF16-CA43-4c33-BE80-99E6694468A4}"="" "{A5366673-E8CA-11D3-9CD9-0090271D075B}"="" "Files"="" "Ms4Hd"="" "Processes"="" "RegKeys"="" "RegValues"="" "Vendor"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues] "clfmon.exe"="" "dllhostxp.exe"="" "pxhping.exe"="" "service.exe"="" Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- hdvu.dll msi.dll Finished ******************************* und hier von Hijack This: Logfile of HijackThis v1.99.0 Scan saved at 11:43:11, on 26.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe C:\program files\InterMute\SpySubtract\SpySub.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\Eltern\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {C3CA4134-2856-49B8-AE7B-C507CBEE005D} - C:\WINDOWS\system32\msij.dll (file missing) O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe gruss visual_75 |
|
|
|
|
|
|
26.12.2004, 12:27
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@visual_75
* TrojanDownloader.Win32.Agent.dh * Downloader-QA Troj/NewIfrm-A ist ein Trojaner-Downloader, der Befehle von einem vordefinierten Speicherort im Internet herunterlädt. Diese Befehle enthalten Anweisungen, aufgrund derer Troj/NewIfrm-A weitere Trojaner installiert oder die Einstellungen vom Internet Explorer ändert, wie z. B. die Startseite und die Suchseite. C:\WINDOWS\system32\golumm\services.exe http://www.sophos.de/virusinfo/analyses/trojnewifrma.html -------------------------------------------------------------------------------------------- Lade: http://bilder.informationsarchiv.net/Nikitas_Tools/ #Killbox Fixe mit dem HijackThis: O2 - BHO: (no name) - {C3CA4134-2856-49B8-AE7B-C507CBEE005D} - C:\WINDOWS\system32\msij.dll (file missing) O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe PC neustarten in den abgesicherten Modus. C:\Program Files\Windows ControlAd <---- den kompletten Ordner loeschen C:\WINDOWS\system32\golumm <----- den kompletten Ordner loeschen oeffne die Killbox: es kann gut sein, dass es einige nicht gibt.... geh auf <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" Loesche: C:\WINDOWS\system32\unlodctl.exe C:\WINDOWS\system32\qappsrvc32.exe C:\WINDOWS\system32\openconf.exe C:\WINDOWS\system32\nlsfuncs.exe C:\WINDOWS\system32\dx9vbc.dll C:\WINDOWS\system32\dnsauth.dll C:\WINDOWS\system32\taskopen.exe C:\WINDOWS\system32\msij.dll C:\WINDOWS\system32\hdvu.dll C:\WINDOWS\system32\msi.dll scanne unbedingt noch mal mit: rem.bat gehe wieder in den Normalmodus: lade mwav.exe von dieser Site http://bilder.informationsarchiv.net/Nikitas_Tools/ mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein  jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten  6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.12.2004 um 12:47 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.12.2004, 15:13
...neu hier
Themenstarter Beiträge: 10 |
#5
Hallo Sabina,
hier sind nun die logs: ***************************************** infected: Sun Dec 26 14:32:39 2004 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: File Deleted. Sun Dec 26 14:39:58 2004 => File C:\WINDOWS\system32\iecust.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted. Sun Dec 26 14:39:58 2004 => File C:\WINDOWS\system32\iecust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: File Deleted. Sun Dec 26 14:40:06 2004 => File C:\WINDOWS\system32\knip.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: File Deleted. Sun Dec 26 14:40:25 2004 => File C:\WINDOWS\system32\Ncboldlf.exe infected by "Trojan-Spy.Win32.Qukart.gen" Virus. Action Taken: File Deleted. Sun Dec 26 14:40:25 2004 => File C:\WINDOWS\system32\Neooqg32.exe infected by "Trojan-Spy.Win32.Qukart.gen" Virus. Action Taken: File Deleted. Sun Dec 26 14:40:56 2004 => File C:\WINDOWS\system32\spview.exe infected by "Trojan-Dropper.Win32.Small.ol" Virus. Action Taken: File Deleted. Sun Dec 26 14:43:59 2004 => File C:\news.exe infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:51 2004 => File C:\RECYCLER\NPROTECT\00009786.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:51 2004 => File C:\RECYCLER\NPROTECT\00009790.exe infected by "Trojan.Win32.LowZones.u" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:51 2004 => File C:\RECYCLER\NPROTECT\00009851.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:51 2004 => File C:\RECYCLER\NPROTECT\00009855.exe infected by "Trojan.Win32.LowZones.u" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:53 2004 => File C:\RECYCLER\NPROTECT\00009955.exe infected by "Trojan-Spy.Win32.Qukart.gen" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:53 2004 => File C:\RECYCLER\NPROTECT\00009975.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:53 2004 => File C:\RECYCLER\NPROTECT\00009976.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:53 2004 => File C:\RECYCLER\NPROTECT\00009993.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:53 2004 => File C:\RECYCLER\NPROTECT\00009994.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:54 2004 => File C:\RECYCLER\NPROTECT\00010056.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:54 2004 => File C:\RECYCLER\NPROTECT\00010057.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:54 2004 => File C:\RECYCLER\NPROTECT\00010102.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:54 2004 => File C:\RECYCLER\NPROTECT\00010103.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:55 2004 => File C:\RECYCLER\NPROTECT\00010132.exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:55 2004 => File C:\RECYCLER\NPROTECT\00010133.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:55 2004 => File C:\RECYCLER\NPROTECT\00010145.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:55 2004 => File C:\RECYCLER\NPROTECT\00010146.exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:55 2004 => File C:\RECYCLER\NPROTECT\00010156.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:55 2004 => File C:\RECYCLER\NPROTECT\00010157.exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:55 2004 => File C:\RECYCLER\NPROTECT\00010189.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Sun Dec 26 14:49:56 2004 => File C:\RECYCLER\NPROTECT\00010195.exe infected by "Trojan.Win32.Dialer.gd" Virus. Action Taken: File Deleted. Sun Dec 26 14:49:56 2004 => File C:\RECYCLER\NPROTECT\00010196.exe infected by "Trojan.Win32.Agent.z" Virus. Action Taken: File Deleted. ***************************** log.txt: ***************************** Files Found................. ---------------------------------------- Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- hdvu.dll msi.dll Finished ****************************** Hijack This: ****************************** Logfile of HijackThis v1.99.0 Scan saved at 15:11:04, on 26.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe C:\program files\InterMute\SpySubtract\SpySub.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Opera\opera.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Eltern\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ******************************** Danke im voraus Gruss visual_75 |
|
|
|
|
|
|
26.12.2004, 15:22
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@visual_75
Gute Arbeit  #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Lade #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ reinige den PC (nichts verstellen, nur reinigen) Suche : hdvu.dll --> rechtsklick --> Eigenschaften --> was steht da ? msi.dll --> rechtsklick --> Eigenschaften --> was steht da ? __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.12.2004 um 15:28 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.12.2004, 15:56
...neu hier
Themenstarter Beiträge: 10 |
#7
Hallo Sabina,
habe ich alles gemacht, jedoch weiss ich nicht genau was ich mit den beiden Dateien hdvu.dll & msi.dll machen soll. Ich habe in der Windows Suche nach den Beiden Dateien gesucht, jedoch habe ich nur die Datei msi.dll gefunden. Dann bin ich in die Eigenschaften gegangen und jetzt weiss ich allerdings nicht genau welche Daten du benötigst. Gruss visual_75 |
|
|
|
|
|
|
26.12.2004, 20:38
Ehrenmitglied
Beiträge: 29434 |
#8
poste mir mal, was da bei Eigenschaften angegeben ist.
hdvu.dll & msi.dll __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.12.2004 um 20:38 Uhr von Sabina editiert.
|
|
|
|
|
|
|
27.12.2004, 12:32
...neu hier
Themenstarter Beiträge: 10 |
#9
Hallo Sabina,
also die Datei hdvu.dll kann ich nicht auf dem System finden. Bei der Datei msi.dll steht folgendes in den Eigenschaften: Dateityp: Programmbibiliothek Öffnen mit: Unbekannte Anwendung Ort: C:\Windows\system32 Größe: 2,67 MB Größe auf Datenträger: 2,67 MB Erstellt: Donnerstag, 29. August 2002, 02:43:26 Geänderta am: Mittwoch, 4.August 2004, 00:57:28 Letzter Zugriff: Heute, 27. Dezember 2004, 12:21:58 ich hoffe mal das hilft dir weiter Danke visual_75 |
|
|
|
|
|
|
27.12.2004, 12:32
...neu hier
Themenstarter Beiträge: 10 |
#10
Hallo Sabina,
also die Datei hdvu.dll kann ich nicht auf dem System finden. Bei der Datei msi.dll steht folgendes in den Eigenschaften: Dateityp: Programmbibiliothek Öffnen mit: Unbekannte Anwendung Ort: C:\Windows\system32 Größe: 2,67 MB Größe auf Datenträger: 2,67 MB Erstellt: Donnerstag, 29. August 2002, 02:43:26 Geänderta am: Mittwoch, 4.August 2004, 00:57:28 Letzter Zugriff: Heute, 27. Dezember 2004, 12:21:58 ich hoffe mal das hilft dir weiter Danke visual_75 |
|
|
|
|
|
|
27.12.2004, 12:53
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@visual_75
Warum postest du immer doppelt ? Process: System Idle Process-->Modules List AAtools.exe, ntdll.dll, kernel32.dll, user32.dll, GDI32.DLL, advapi32.dll, RPCRT4.DLL, oleaut32.dll, ole32.dll, mpr.dll, version.dll, LZ32.DLL, comctl32.dll, imm32.dll, winspool.drv, shell32.dll, SHLWAPI.DLL, wininet.dll, TAPI32.dll, MSVCRT.DLL, comdlg32.dll, wsock32.dll, WS2_32.DLL, WS2HELP.DLL, winmm.dll, hhctrl.ocx, urlmon.dll, iphlpapi.dll, ICMP.DLL, MPRAPI.DLL, SAMLIB.DLL, NETAPI32.DLL, SECUR32.DLL, NETRAP.DLL, WLDAP32.DLL, DNSAPI.DLL, ACTIVEDS.DLL, ADSLDPC.DLL, RTUTILS.DLL, SETUPAPI.DLL, USERENV.DLL, RASAPI32.DLL, RASMAN.DLL, DHCPCSVC.DLL, INDICDLL.dll, CLBCATQ.DLL, cscui.dll, CSCDLL.DLL, psapi.dll, IMAGEHLP.dll, rnr20.dll, winrnr.dll, rasadhlp.dll, wdmaud.drv, dao360.dll, msado15.dll, MSDART32.DLL, ntshrui.dll, ATL.DLL, browseui.dll, SHDOCVW.dll, mydocs.dll, ntlanman.dll, NETUI0.DLL, NETUI1.DLL, aports.dll, msafd.dll, wshtcpip.dll, MSI.DLL ich hab nichts weiter ueber diese msi.dll finden koennen, also lassen wir sie mal lieber, ehe wir noch was falsches loeschen. Ich wuensche dir einen guten Rutsch und wenn was nicht funktioniert, komme wieder ins Forum __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.12.2004 um 12:53 Uhr von Sabina editiert.
|
|
|
|
|
|
|
27.12.2004, 14:46
...neu hier
Themenstarter Beiträge: 10 |
#12
Hallo Sabina,
also die Datei hdvu.dll kann ich nicht auf dem System finden. Bei der Datei msi.dll steht folgendes in den Eigenschaften: Dateityp: Programmbibiliothek Öffnen mit: Unbekannte Anwendung Ort: C:\Windows\system32 Größe: 2,67 MB Größe auf Datenträger: 2,67 MB Erstellt: Donnerstag, 29. August 2002, 02:43:26 Geänderta am: Mittwoch, 4.August 2004, 00:57:28 Letzter Zugriff: Heute, 27. Dezember 2004, 12:21:58 ich hoffe mal das hilft dir weiter Danke visual_75 |
|
|
|
|
|
|
27.12.2004, 15:18
Ehrenmitglied
Beiträge: 29434 |
#13
Zitat visual_75 postetebesser, nicht loeschen (nicht das dann was nicht funktioniert...belassen wir es dabei. Das Log vom HijackThis ist sauber __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.12.2004, 17:45
...neu hier
Themenstarter Beiträge: 10 |
#14
Hallo Sabina,
ich wollte mich nur ganz herzlich bei dir bedanken, ohne deine Hilfe wäre mir nichts anderes übrig geblieben als eine Neuinstallation. Selbst dann wäre ich aber aufgeschmissen falls die Probleme wieder auftauchen. Ist wircklich der Hammer was man sich da alles im Handumdrehen auf seinen Rechner geladen hat. Also noch mal VIELEN DANK FÜR DEINE HILFE !!! Gruss visual_75 |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bekomme diese Viren nicht von meinem Rechner. Kann mir bitte jemand bei der Auswertung meines Log-Files helfen?
Logfile of HijackThis v1.99.0
Scan saved at 18:56:51, on 25.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\WINDOWS\system32\golumm\services.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\DOKUME~1\Eltern\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\system32\msacmx.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [golumm] C:\WINDOWS\system32\golumm\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sysinit] C:\WINDOWS\system32\golumm\services.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.63.219.181.7
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Gruss
visual_75