topantispyware.com läßt sich nicht entfernen |
||
---|---|---|
#0
| ||
14.03.2005, 10:44
Ehrenmitglied
Beiträge: 29434 |
||
|
||
14.03.2005, 17:08
...neu hier
Beiträge: 3 |
#17
hat alles geklappt danke, hier das nun merklich kleiner log
Logfile of HijackThis v1.99.1 Scan saved at 17:14:49, on 14.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ma44Pan.Exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\Mixer.exe C:\Programme\Mozzilla Firebird\MozillaFirebird\MozillaFirebird.exe E:\Downloads\killbox\KillBox.exe E:\Downloads\hijackthis\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [Ma44Pan] Ma44Pan.Exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{05E0486E-EBBB-4D3E-B867-661C34C8DC13}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = pysnet.uni-hamburg.de O17 - HKLM\System\CS1\Services\Tcpip\..\{05E0486E-EBBB-4D3E-B867-661C34C8DC13}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = pysnet.uni-hamburg.de O17 - HKLM\System\CS2\Services\Tcpip\..\{05E0486E-EBBB-4D3E-B867-661C34C8DC13}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = pysnet.uni-hamburg.de O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe |
|
|
||
14.03.2005, 18:56
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo@thelordhh
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten C:\WINDOWS\System32\Ma44Pan.Exe ________________________________________________________________ nach dem erneuten scann mit escan:-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben--> POSTE ALLES !!!!!!!!!!+ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2005, 01:00
...neu hier
Beiträge: 3 |
#19
das is ne datei von meiner soundkarte hab ich gechekt alles ist gut
den rest poste ich noch bin jezt erst mal 2 wochen off... danke nochmal für die hilfe echt nett Dieser Beitrag wurde am 15.03.2005 um 02:21 Uhr von thelordhh editiert.
|
|
|
||
15.03.2005, 01:34
...neu hier
Beiträge: 2 |
#20
ich hab diesen topantispyware.com Schei... ganz einfach deeinstalliert!!
wenn man au fdiese bluescreen popup klickt kommt man zu einer seite auf der man eine such auflistung zum thema spyware bekommt... scrollt man dann auf dieser seite ganz nach unten steht dort ganz klein in der mitte uninstal!!! klickt da daruf und ihr bekommt eine anleitung und ein tool von denen!!! hab ich gemacht und hat sofort funktioniert!!! Auf sowas muss man auch erstmal kommen oder?? greetz theConnector |
|
|
||
15.03.2005, 01:50
Ehrenmitglied
Beiträge: 29434 |
#21
Hallo@theConnector
Ob das ausreicht....da zweifle ich stark...wieso sollen die Entwickler von Spyware/Hacker eine korrekte Anleitung zur Deinstalltion ins Netz stellen ???? Der entscheidende "Muell" bleibt garantiert.....und wiegt den User in Sicherheit... I had the same black screen. When checking the internet for solutions I found a rather surprising one. Check *http://www.topantispyware.com/uninstall.html* Here you find an apology from the company and a cleaningtool. I ran it, rebooted and a minute later the problem was fixed. Easy as that! Good luck all. We apologize for actions of several our advertisers. We are investigating their promotion business. We have prepared FreeClean desktop removal utility to help to fight with desktop advertisements of our site. If you have problems with this site follow the next steps: 1. Download and run the clean program here 2. Reboot your PC 4. Install good antivirus soft and spyware remover. If the clean utility could not help try these step-by-step instructions to manually remove ads from your PC: 1. Open the Control Panel. 2. Open Display Properties. 3. Click the Desktop tab. 4. Click the Customize Desktop button. 5. Click the Web tab in the Desktop Items window. 6. Make sure all checkboxes in this window are un-checked. Boot to safe mode: Instructions here Then delete the following files if they are still on your system: C:\WINDOWS\System32\runsrv32.exe <-File C:\WINDOWS\System32\runsrv32.dll <-File C:\WINDOWS\System32\txfdb32.dll <-File Then reboot to normal mode. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2005, 15:50
...neu hier
Beiträge: 3 |
#22
ahoi.
ist der inhalt des letzten posts nun empfehlenswert als problemlösung oder nicht? wenn ja würde ich diesen wählen, weil die alternative auf mich recht komplex wirkt. wenn nicht dann hier schon mal mein hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 15:27:41, on 15.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\ProgrammeXPPro\norton\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~4\norton\NORTON~2\GHOSTS~2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\ProgrammeXPPro\norton\Norton AntiVirus\navapsvc.exe C:\ProgrammeXPPro\norton\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~4\norton\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\ProgrammeXPPro\netscape7\Netscp.exe C:\downloads\tools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=280 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=280 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ProgrammeXPPro\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\ProgrammeXPPro\norton\Norton AntiVirus\NavShExt.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-716D74632608} - C:\WINDOWS\System32\mtc2608.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\System32\spm1316.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\ProgrammeXPPro\norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\programmexppro\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\ProgrammeXPPro\norton\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\ProgrammeXPPro\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Windows Task Manager] taskmanagr.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe O4 - Global Startup: Microsoft Office.lnk = C:\ProgrammeXPPro\OfficeXP\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~4\OfficeXP\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{42134C97-5FB3-4C69-AE2F-6EAE8C132A29}: NameServer = 217.237.149.225 217.237.151.97 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~4\norton\NORTON~2\GHOSTS~2.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\ProgrammeXPPro\norton\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ProgrammeXPPro\norton\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~4\norton\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe danke im voraus! @ sabina ... ich hoffe dir wird das auf dauer nicht langweilig immer die gleichen ratschläge zu erteilen. wäre dir dankbar wenn du es trotzdem nochmal machen würdest. bin computersicherheitstechnisch nämlich nich gerade ne koryphäe, was aus dem log sicher ersichtlich ist. |
|
|
||
16.03.2005, 10:16
...neu hier
Beiträge: 2 |
#23
@ Sabina
also ich hab mein filesystem komplett gecheckt und hab nichts mehr gefunden.. Sämtliche file-Compare progs haben nur die von mir modifizierten dateien bemängelt sonst nichts.. also ist dieses clean tool zuverlässig.. nur mit anderer spyware macht das programm logischerweise nix ist ja dann auch nicht von denen die sind übrigens gesetzlich dazu verpflichtet ein tool zur verfügung zustellen das die spyware KOMPLETT entfernt! deswegen hab ich es ja auch gefunden... greetz theConnector |
|
|
||
16.03.2005, 11:39
Ehrenmitglied
Beiträge: 29434 |
#24
Hallo@Farnsworth
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=280 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=280 O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-716D74632608} - C:\WINDOWS\System32\mtc2608.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-7173706D1316} - C:\WINDOWS\System32\spm1316.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [Microsoft Windows Task Manager] taskmanagr.exe<<-WORM_SDBOT.CM O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srvc32.exe C:\WINDOWS\System32\spoolsrv32.exe C:\r.exe C:\WINNT\System32\srpcsrv32.dll C:\WINDOWS\System32\taskmanagr.exe C:\WINDOWS\System32\MTC.dll C:\WINDOWS\System32\mtc2608.dll C:\WINDOWS\System32\spm1316.dll C:\WINDOWS\System32\wer1316.dll PC neustarten •Download NOD32 Antivirus System<---scanne im abgesicherten Modus http://www.nod32.de/download/download.php gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml NOD32 --> scannen !!! Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> danach von hier aus alles, was "infected" mit der Killbox oder manuell loeschen !!!!! #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis -- ++ http://research.pestpatrol.com/Search/FileInfoResults.asp?MD5=9e34dfa667a08e5545e5228f1780f958 ++ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.03.2005, 11:58
...neu hier
Beiträge: 4 |
#25
Hallo,
ich habe seit einigen Tagen das gleiche Problem, wie anscheinend allzuviele User, nämlich: topantispyware! Ich habe jetzt die Schritte durchgeführt, die Sabina am 03.01.2005 dem aphol empfohlen habe, und habe nun die logs von: 1. hijackthis, 2. dllcompare und 3. den scan von adaware, die ich jetzt mal hier poste in der Hoffnung, dass ihr mir helfen könnt! MfG, Garald. __________________________ Logfile of HijackThis v1.99.1 Scan saved at 11:13:22, on 16.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\DOKUME~1\JANRÖT~1\LOKALE~1\TEMP\_VWUPSRV.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\DOKUME~1\JANRÖT~1\EIGENE~1\VERSCH~1\MEINET~1\MT.EXE C:\Programme\TweakNow PowerPack\VirDesk.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=901 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=901 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 2.0\TH_Guard.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Meine Traffic] C:\DOKUME~1\JANRÖT~1\EIGENE~1\VERSCH~1\MEINET~1\MT.EXE O4 - HKLM\..\Run: [VirtualDesk] C:\Programme\TweakNow PowerPack\VirDesk.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [449c60j4] c:\windows\449c60j4.exe -m O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE 1 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC7BCF0-246C-44BF-B2B8-D48783283846}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC7BCF0-246C-44BF-B2B8-D48783283846}: NameServer = 192.168.0.1 O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\JANRÖT~1\LOKALE~1\TEMP\_VWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe ______________________________________________________________________ * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\štzwurst.dll Tue 14 Apr 1998 4:26:12 A.... 24.576 24,00 K ________________________________________________ 1.363 items found: 1.363 files, 0 directories. Total of file sizes: 279.003.236 bytes 266,08 M Administrator Account = Wahr --------------------End log--------------------- ____________________________________________________________________ Ad-Aware SE Build 1.05 Logfile Created on:Mittwoch, 16. März 2005 11:15:45 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R32 10.03.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CasinoPalazzo(TAC index:5):8 total references CoolWebSearch(TAC index:0):5 total references MRU List(TAC index:0):46 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 16.03.2005 11:15:45 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\nico mak computing\winzip\filemenu Description : winzip recently used archives MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows\currentversion\applets\wordpad\recent file list Description : list of recent files opened using wordpad MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows\currentversion\applets\paint\recent file list Description : list of files recently opened using microsoft paint MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\player\recentfilelist Description : list of recently used files in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\internet explorer\main Description : last save directory used in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\realnetworks\realplayer\6.0\preferences Description : list of recent skins in realplayer MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\player\settings Description : last save as directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\preferences Description : last cd record path used in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\internet explorer\typedurls Description : list of recently entered addresses in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\realnetworks\realplayer\6.0\preferences Description : list of recent clips in realplayer MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\realnetworks\realplayer\6.0\preferences Description : list of recent open locations in realplayer MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\realnetworks\realplayer\6.0\preferences Description : last login time in realplayer MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\player\recenturllist Description : list of recently used web addresses in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\preferences Description : last search path used in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\mediaplayer\medialibraryui Description : last selected node in the microsoft windows media player media library MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-3993469562-1266486392-598665437-1005\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Jan Röthel\recent Description : list of recently opened documents Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 428 ThreadCreationTime : 16.03.2005 09:48:01 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 492 ThreadCreationTime : 16.03.2005 09:48:03 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 516 ThreadCreationTime : 16.03.2005 09:48:04 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 560 ThreadCreationTime : 16.03.2005 09:48:04 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 572 ThreadCreationTime : 16.03.2005 09:48:04 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 720 ThreadCreationTime : 16.03.2005 09:48:05 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 768 ThreadCreationTime : 16.03.2005 09:48:05 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 828 ThreadCreationTime : 16.03.2005 09:48:05 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 888 ThreadCreationTime : 16.03.2005 09:48:05 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 992 ThreadCreationTime : 16.03.2005 09:48:06 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1112 ThreadCreationTime : 16.03.2005 09:48:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:12 [crypserv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1456 ThreadCreationTime : 16.03.2005 09:48:13 BasePriority : High FileVersion : 5.4.0 ProductVersion : 5.4 ProductName : CrypKey Software Licensing System CompanyName : Kenonic Controls Ltd. FileDescription : CrypKey NT Service InternalName : crypserv LegalCopyright : Copyright © 2000 LegalTrademarks : CrypKey OriginalFilename : crypserv.exe Comments : Operates in all directories, not just configured ones. Directory configuration only used for fille clean up and uninstall. 0/3 fixed problem with other partitions. 0/6 fixed problem with short paths #:13 [nvsvc32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1508 ThreadCreationTime : 16.03.2005 09:48:13 BasePriority : Normal FileVersion : 6.13.10.2312 ProductVersion : 6.13.10.2312 ProductName : NVIDIA Driver Helper Service, Version 23.12 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 23.12 InternalName : NVSVC LegalCopyright : Copyright © 1998-2001 NVIDIA Corporation OriginalFilename : nvsvc32.exe #:14 [_vwupsrv.exe] FilePath : C:\DOKUME~1\JANRÖT~1\LOKALE~1\TEMP\ ProcessID : 1556 ThreadCreationTime : 16.03.2005 09:48:13 BasePriority : Normal #:15 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 196 ThreadCreationTime : 16.03.2005 09:48:25 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:16 [wscntfy.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 384 ThreadCreationTime : 16.03.2005 09:48:25 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows Security Center Notification App InternalName : wscntfy.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : wscntfy.exe #:17 [hpztsb04.exe] FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\ ProcessID : 896 ThreadCreationTime : 16.03.2005 09:48:27 BasePriority : Normal FileVersion : 2,80,0,0 ProductVersion : 2,80,0,0 ProductName : HP DeskJet CompanyName : HP LegalCopyright : Copyright (c) Hewlett-Packard Company 1999-2001 #:18 [sointgr.exe] FilePath : C:\WINDOWS\ ProcessID : 924 ThreadCreationTime : 16.03.2005 09:48:27 BasePriority : Normal #:19 [realsched.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 980 ThreadCreationTime : 16.03.2005 09:48:28 BasePriority : Normal FileVersion : 0.1.0.1622 ProductVersion : 0.1.0.1622 ProductName : RealOne Player (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2002 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:20 [mt.exe] FilePath : C:\DOKUME~1\JANRÖT~1\EIGENE~1\VERSCH~1\MEINET~1\ ProcessID : 988 ThreadCreationTime : 16.03.2005 09:48:28 BasePriority : Normal FileVersion : 1.0.0.12 ProductVersion : 1.01 ProductName : Meine Traffic CompanyName : Mirko Böer FileDescription : Meine Traffic InternalName : mt LegalCopyright : Copyright © 2001 Mirko Böer OriginalFilename : mt.exe Comments : http://www.trafficmonitor.de/ #:21 [virdesk.exe] FilePath : C:\Programme\TweakNow PowerPack\ ProcessID : 1124 ThreadCreationTime : 16.03.2005 09:48:29 BasePriority : Normal #:22 [qttask.exe] FilePath : C:\Programme\QuickTime\ ProcessID : 680 ThreadCreationTime : 16.03.2005 09:48:29 BasePriority : Normal FileVersion : 6.5.1 ProductVersion : QuickTime 6.5.1 ProductName : QuickTime CompanyName : Apple Computer, Inc. InternalName : QuickTime Task LegalCopyright : © Apple Computer, Inc. 2001-2004 OriginalFilename : QTTask.exe #:23 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1740 ThreadCreationTime : 16.03.2005 09:48:36 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE CoolWebSearch Object Recognized! Type : Process Data : wer1316.dll Category : Malware Comment : (CSI MATCH) Object : C:\WINDOWS\System32\ Warning! CoolWebSearch Object found in memory(C:\WINDOWS\System32\wer1316.dll) #:24 [iexplore.exe] FilePath : C:\Programme\Internet Explorer\ ProcessID : 1504 ThreadCreationTime : 16.03.2005 09:50:17 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Internet Explorer InternalName : iexplore LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : IEXPLORE.EXE CoolWebSearch Object Recognized! Type : Process Data : wer1316.dll Category : Malware Comment : (CSI MATCH) Object : C:\WINDOWS\System32\ Warning! CoolWebSearch Object found in memory(C:\WINDOWS\System32\wer1316.dll) "C:\Programme\Internet Explorer\iexplore.exe"Process terminated successfully #:25 [firefox.exe] FilePath : C:\PROGRA~1\MOZILL~1\ ProcessID : 636 ThreadCreationTime : 16.03.2005 10:02:07 BasePriority : Normal #:26 [notepad.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1332 ThreadCreationTime : 16.03.2005 10:13:22 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Editor InternalName : Notepad LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : NOTEPAD.EXE #:27 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 420 ThreadCreationTime : 16.03.2005 10:14:37 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 48 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CasinoPalazzo Object Recognized! Type : Regkey Data : Category : Malware Comment : Rootkey : HKEY_CLASSES_ROOT Object : typelib\{9eac0102-5e61-2312-bc2b-4d54434d5443} CasinoPalazzo Object Recognized! Type : Regkey Data : Category : Malware Comment : Rootkey : HKEY_CLASSES_ROOT Object : tubby.toolbandobj.1 CasinoPalazzo Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_CLASSES_ROOT Object : tubby.toolbandobj.1 Value : CasinoPalazzo Object Recognized! Type : Regkey Data : Category : Malware Comment : Rootkey : HKEY_CLASSES_ROOT Object : tubby.toolbandobj CasinoPalazzo Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_CLASSES_ROOT Object : tubby.toolbandobj Value : Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 5 Objects found so far: 53 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 53 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 53 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 53 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 3 entries scanned. New critical objects:0 Objects found so far: 53 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_CURRENT_USER Object : software\microsoft\internet explorer\search Value : SearchAssistant CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_CURRENT_USER Object : software\microsoft\internet explorer\main Value : Enable Browser Extensions CoolWebSearch Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_CURRENT_USER Object : software\microsoft\internet explorer Value : CasinoPalazzo Object Recognized! Type : Regkey Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\search toolbar CasinoPalazzo Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\search toolbar Value : DisplayName CasinoPalazzo Object Recognized! Type : RegValue Data : Category : Malware Comment : Rootkey : HKEY_LOCAL_MACHINE Object : software\microsoft\windows\currentversion\uninstall\search toolbar Value : UninstallString Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 6 Objects found so far: 59 11:29:14 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:13:28.864 Objects scanned:210072 Objects identified:11 Objects ignored:0 New critical objects:11 |
|
|
||
16.03.2005, 12:10
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo@Garald
Start<Ausfuehren<regedit loesche alle Eintraege von: WhenU\Weather HKEY_CURRENT_USER\Software\WhenU\Weather HKEY_USERS\.DEFAULT\Software\WhenU\Weather HKEY_CLASSES_ROOT\WUSN.1 HKEY_CLASSES_ROOT\CLSID\{389A5A59-1306-4389-A779-2EB9D0BC1FFB} HKEY_CLASSES_ROOT\Interface\{711648F0-5FF5-4C81-805E-A1AEDBAB4951} HKEY_CLASSES_ROOT\TypeLib\{20752C25-2D97-4E6F-9EE2-94B74D202875} HKEY_CLASSES_ROOT\WhenU.EmbedSE HKEY_CLASSES_ROOT\WhenU.EmbedSE.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WeatherCast #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=901 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=901 O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [449c60j4] c:\windows\449c60j4.exe -m O4 - HKCU\..\Run: [Weather] C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE 1 O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\runoledb32.exe C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\wer1316.dll C:\WINDOWS\desktop.html C:\WINDOWS\Web\desktop.html C:\r.exe C:\WINDOWS\System32\srvc32.exe C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\spoolsrv32.exe c:\windows\449c60j4.exe C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE 1 C:\PROGRA~1\AWS\WEATHE~1\WEATHER.EXE PC neustarten •Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" -->WeatherCast <C:\PROGRA~1\AWS\WeatherCast\Weather.exe<--loeschen <WhenU\EmbedSe.dll <--loeschen Speedy.bat <--loeschen •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> dann manuell oder mit der Killbox loeschen falls du es findest: •C:\Program Files\TopAntiSpyware •C:\WINDOWS\desktop.html •C:\WINDOWS\Web\desktop.html so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste •C:\WINDOWS\Web\desktop.html •C:\WINDOWS\SSICO.ICO •C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url •C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url •Download NOD32 Antivirus System http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.03.2005, 19:39
...neu hier
Beiträge: 4 |
#27
Hallo Sabina,
jetzt habe ich alle Schritte durchgeführt, wie du es mir geschrieben hast. Ich hoffe, dass alles geklappt hat. Garald. Hier das HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 19:36:03, on 16.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\DOKUME~1\JANRÖT~1\LOKALE~1\TEMP\_VWUPSRV.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\TweakNow PowerPack\VirDesk.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Eset\nod32kui.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Mozilla Firefox\firefox.exe C:\unzipped\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www,web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VirtualDesk] C:\Programme\TweakNow PowerPack\VirDesk.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC7BCF0-246C-44BF-B2B8-D48783283846}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC7BCF0-246C-44BF-B2B8-D48783283846}: NameServer = 192.168.0.1 O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\JANRÖT~1\LOKALE~1\TEMP\_VWUPSRV.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
|
|
||
16.03.2005, 20:35
Ehrenmitglied
Beiträge: 29434 |
#28
Hallo@Garald
Das Log ist sauber Das hast du gut gemacht. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.03.2005, 02:00
...neu hier
Beiträge: 4 |
#29
Hallo@Sabina,
also ich muss sagen, dass mir wirklich ein Stein vom Herzen gefallen ist (leider direkt auf mein Fuss, aua!!!). Ich dachte schon, dass ich die Windows-recovery CD einlegen müsste, das wäre nun das Letzte, was ich möchte!! Ich werde jetzt auch mehr aufpassen im Netz, z.B. nicht mit meinem Windows Administratorenkonto ins Netz gehen, damit eventuelle Viren nicht gleich die Admin Rechte erben. Also nochmals vielen, vielen, vielen Dank für die schnelle und sehr gute hilfe!! Es ist echt gut, dass es Leute wie dich gibt, die unentgeltich helfen! Meine Freundin hat für ein ähnliches Problem einen PC Notdienst geholt, die Folge war, dass sie dann sage und schreibe 400 € zahlen musste!! Eigentlich hätte sie sich ja auch für den Preis einen neuen PC kaufen können. MfG, Garald |
|
|
||
17.03.2005, 02:19
...neu hier
Beiträge: 3 |
#30
hi @ sabina
zuerst mal: DANKE! jetzt noch ne frage: kann ich zum viren scannen statt dem von dir empfohlenen nod32 auch norton nehmen, dass ist nämlich schon auf meinem rechner oder kann nod32 etwas was norton nicht kann? wenn ich alles durchgeführt habe gibts das neue logfile. |
|
|
||
Start<Ausfuehren<regedit
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Erstellen Sie hier einen neuen Wert mit dem Namen "SuperHidden" als Datentyp REG_DWORD und setzen Sie den Wert auf: 1
Damit werden alle Dateien werden angezeigt
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced "ShowSuperHidden"=0--> 1
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
C:\WINDOWS\System32\Ma44Pan.Exe
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_hp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_hp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\_sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html
O1 - Hosts: 3466709097 auto.search.msn.com
O1 - Hosts: 3466709097 search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O1 - Hosts: 3466709097 www.your.com your.com
O1 - Hosts: 3466709097 com.org
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O4 - HKLM\..\Run: [Ma44Pan] Ma44Pan.Exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Microsoft AntiSpyware helper - {B4F95D0F-B1E4-40AA-BDEA-122E15E850D8} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {B4F95D0F-B1E4-40AA-BDEA-122E15E850D8} - C:\WINDOWS\System32\wldr.dll
O9 - Extra button: Microsoft AntiSpyware helper - {E63E1D0F-C042-4005-9416-2FB9888C2F54} - C:\WINDOWS\System32\wldr.dll
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E63E1D0F-C042-4005-9416-2FB9888C2F54} - C:\WINDOWS\System32\wldr.dll
O9 - Extra button: Microsoft AntiSpyware helper - {82324A1C-7B7E-4AB7-B1EC-428B74535B75} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {82324A1C-7B7E-4AB7-B1EC-428B74535B75} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {AEAFFEF8-20AB-4A1B-A37A-A7EF7196AD91} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {AEAFFEF8-20AB-4A1B-A37A-A7EF7196AD91} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {B4F95D0F-B1E4-40AA-BDEA-122E15E850D8} - C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {B4F95D0F-B1E4-40AA-BDEA-122E15E850D8} - C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {E63E1D0F-C042-4005-9416-2FB9888C2F54} - C:\WINDOWS\System32\wldr.dll (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E63E1D0F-C042-4005-9416-2FB9888C2F54} - C:\WINDOWS\System32\wldr.dll (HKCU)
O20 - AppInit_DLLs: ,
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINNT\System32\srpcsrv32.dll
C:\WINNT\System32\runsvc32.exe
C:\WINNT\System\runsrv32.dll
C:\WINNT\System32\spoolsrv32.exe
C:\WINNT\System32\runoledb32.exe
C:\WINDOWS\System32\wldr.dll
C:\r.exe
C:\WINDOWS\_hp.html
C:\WINDOWS\ex.htm
C:\WINDOWS\System32\MetaProducts\Add_Url.htm
C:\WINDOWS\System32\Ma44Pan.Exe <--auch loeschen, falls es "boese ist"
PC neustarten
Loesche:
Speedy.bat
falls du es findest:
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html
so kann man C:\WINDOWS\Web\desktop.html <--loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste
•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url
C:\WINDOWS\System32\MetaProducts\Add_Url
•Download NOD32 Antivirus System<---scanne im abgesicherten Modus
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
danach von hier aus alles, was "infected" mit der Killbox oder manuell loeschen !!!!!
#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
•HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button
lösche alles , lasse nur stehen:
127.0.0.1 localhost
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
poste das neue Log vom HijackThis
__________
MfG Sabina
rund um die PC-Sicherheit