topantispyware.com läßt sich nicht entfernen |
||
---|---|---|
#0
| ||
03.04.2005, 09:50
...neu hier
Beiträge: 3 |
||
|
||
03.04.2005, 13:22
Ehrenmitglied
Beiträge: 29434 |
#47
Hallo@them
Zitat #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten vor genau diese Eintraege, die ich geschrieben hab (ist das so schwer zu verstehen ?) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.04.2005, 14:17
...neu hier
Beiträge: 3 |
#48
Hi Sabina,
sorry bin nicht gerade der pc-spezialist in solchen sachen.habs aber soweit hinbekommen und mache jetzt noch die restlichen angaben. :-) |
|
|
||
03.04.2005, 20:01
...neu hier
Beiträge: 10 |
#49
hi zusammen,
ich habe das gleiche Problem, bin aber von dem was ich hier lese komplett überfordert, habe das hijack-dingens zwar schon runtergeladen, weiss aber nicht was ich wo und wie anklicken muß soll, wäre es u.U. möglich eine step-by-step-Anleitung zu erhalten um dieses topantispyware herunterzubekommen - um was handelt es ich hierbei eigentlich? - ist das eine besondere Art der agressiven Werbung und in wieweit kann man der uninstall-Anleitung trauen, hierüber scheint es ja auch unterschiedliche Meinungen zu geben, besten Dank im voraus PS.: habe Spybot-Search&destroy und AntiVirXP laufen lassen hat aber nichts geholfen Gruß Daniel |
|
|
||
03.04.2005, 23:54
...neu hier
Beiträge: 5 |
#50
hallo sabina
bin auch so ein kunde mit topantispyware... habe erstmal versucht das gleiche zu machen was du den anderen empfohlen hast.. erstmal war es schwierig hijackthis zu bekommen, damein browser immer auf ne suchseite umschaltet sobald man es downloaden will , habs dann aber igendwie mit n bischen googeln geschafft . ähnlich verhält es sich mit killbox hast du eine idee bzw, nen link der nicht umgeleitet wird? dann:nach löschen mit hijackthis (ich hab mal die files genommen die du den anderen empfohlen hast) waren diese allerdings nach dem neustart wieder da im folgenden mein hijackthislog: Zitat
thx in advance maddin edit: huhu hab hier http://hjt.iamnotageek.com/ einen automatischen hijackthis loganalyzer gefunden... gruss maddin Dieser Beitrag wurde am 04.04.2005 um 11:58 Uhr von mad-din editiert.
|
|
|
||
04.04.2005, 11:56
Ehrenmitglied
Beiträge: 29434 |
#51
Hallo@mad-din
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktiviere Gehe in die Registry Start<Ausfuehren<regedit mit rechtsklick loeschen: HKCU\Software\LQ HKLM\Software\ohbbackup HKLM\Software\Elitum #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_a R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {0A7ACE90-5E72-77D6-27D2-5210D710CEC9} - C:\WINDOWS\System32\pki.dll O2 - BHO: Band Class - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll O2 - BHO: Band Class - {CC378B83-9577-44D0-B4F8-0DD965E176FC} - C:\Programme\eSyndicate\esyn.dll O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O3 - Toolbar: Band Class - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\Programme\SEP\sep.dll O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.EXE O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemld32.exe O4 - HKLM\..\Run: [6aqKit] C:\WINDOWS\hayxmxx.exe O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [IIjiD] C:\dokumente und einstellungen\maddin\lokale einstellungen\temp\IIjiD.exe O4 - HKLM\..\Run: [UnsF] C:\windows\system32\UnsF.exe O4 - HKLM\..\Run: [8275b92da620] C:\WINDOWS\System32\catsrv32.exe O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKLM\..\Run: [2ZQLKP#2WLSCTL] C:\WINDOWS\System32\Cjo9g.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe O9 - Extra button: Microsoft AntiSpyware helper - {EDA76D37-44B5-4D13-BC15-788607B10E43} - C:\WINDOWS\System32\wldr.dll O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {EDA76D37-44B5-4D13-BC15-788607B10E43} - C:\WINDOWS\System32\wldr.dll O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c18.cab O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab O21 - SSODL: NTDBGTOOL - {15BEA0BB-5600-4878-B8FC-CF12D0FD5521} - C:\WINDOWS\System32\shimcr32.dll O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) PC neustarten C:\WINDOWS\System32\shimcr32.dll C:\WINDOWS\System32\pki.dll C:\Programme\SEP\sep.dll C:\Programme\eSyndicate\esyn.dll c:\windows\system32\taskmg.exe C:\WINDOWS\System32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.EXE C:\WINDOWS\System32\shimcr32.dll C:\WINDOWS\Downloaded Program Files\internazionale_ver10.ocx C:\dokumente und einstellungen\maddin\lokale einstellungen\temp\IIjiD.exe C:\windows\system32\elitemld32.exe C:\WINDOWS\EliteSideBar C:\WINDOWS\System32\run.exe C:\WINDOWS\protector_update.exe C:\WINDOWS\System32\Cjo9g.exe C:\WINDOWS\System32\catsrv32.exe C:\WINDOWS\System32\Dmtd.exe C:\WINDOWS\System32\HryYJop.exe C:\windows\system32\UnsF.exe C:\WINDOWS\Xhrmy.exe C:\WINDOWS\hayxmxx.exe C:\WINDOWS\System32\ap9h4qmo.exe C:\WINDOWS\System32\Cjo9g.exe C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\WINDOWS\desktop.html C:\WINDOWS\Web\desktop.html C:\r.exe C:\WINDOWS\System32\spoolsrv32.exe C:\Programme\TV Media\TvmBho.dll C:\Programme\TV Media\Tvm.exe C:\Programme\ISTsvc\istsvc.exe C:\WINDOWS\Downloaded Program Files\ISTactivex.dll C:\Program Files\Media Access\MediaAccK.exe C:\Program Files\Media Access\MediaAccess.exe PC neustarten suche und loesche:Speedy.bat C:\dokumente und einstellungen\maddin\lokale einstellungen\temp\IIjiD.exe FxIstbar.exe http://bilder.informationsarchiv.net/Nikitas_Tools/FxIstbar.exe •Download NOD32 Antivirus System http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2005, 12:11
Ehrenmitglied
Beiträge: 29434 |
#52
Hallo@maphidal
Kopiere bitte das Log vom HijackThis hier ins Forum __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2005, 16:28
...neu hier
Beiträge: 5 |
#53
huhu sabina
auch nach der ganzen reinigungsprozedur waren diese spoolerdinger wieder da siehe neues HJT log: Logfile of HijackThis v1.99.1 Scan saved at 16:00:08, on 04.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\TFNF5.exe C:\Programme\TOSHIBA\TouchED\TouchED.Exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\System32\TPSMain.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Winamp\winampa.exe C:\Programme\Eset\nod32kui.exe C:\windows\system32\taskmg.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\gearsec.exe C:\FoxServ\mysql\bin\mysqld-nt.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE C:\WINDOWS\System32\TPSBattM.exe C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\bbj\Desktop\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.181.23:3128;http=192.168.181.23:3128;https=192.168.181.23:3128;socks=192.168.181.23:1080 O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemld32.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) ------------------------------------------------------------------------- ansonsten viel suspektes zeug gefunden: Mon Apr 04 15:44:54 2005 => File C:\windows\system32\elitemld32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "XXXToolbar Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => System found infected with eSyndicate Spyware/Adware ({941e3071-658d-4f7a-8848-a39e9a43aa97})! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "eSyndicate Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\sidefind present... Mon Apr 04 15:45:14 2005 => System found infected with sidefind Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "sidefind Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\istsvc present... Mon Apr 04 15:45:14 2005 => System found infected with istsvc Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "istsvc Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\POWERS~1 present... Mon Apr 04 15:45:14 2005 => System found infected with power scan Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "power scan Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\istbar !!! Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\istbar present... Mon Apr 04 15:45:14 2005 => System found infected with istbar Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "istbar Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!! Mon Apr 04 15:45:14 2005 => System found infected with ameopt Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\kapabout !!! Mon Apr 04 15:45:14 2005 => System found infected with kapabout Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\180SOL~1 present... Mon Apr 04 15:45:14 2005 => System found infected with 180Solutions Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\myway !!! Mon Apr 04 15:45:14 2005 => Offending Folder C:\PROGRA~1\myway present... Mon Apr 04 15:45:14 2005 => System found infected with myway Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "myway Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending value found in HKLM\Software\xhrmy !!! Mon Apr 04 15:45:14 2005 => System found infected with xhrmy Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "xhrmy Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending Folder C:\WINDOWS\ELITET~1 present... Mon Apr 04 15:45:14 2005 => System found infected with elitetoolbar Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "elitetoolbar Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending value found in HKCU\Software\lq !!! Mon Apr 04 15:45:14 2005 => System found infected with lq Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "lq Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:14 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!! Mon Apr 04 15:45:14 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken. Mon Apr 04 15:45:14 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:16 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken. Mon Apr 04 15:45:16 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:16 2005 => ***** Scanning System32 Folders ***** Mon Apr 04 15:45:16 2005 => Scanning C:\WINDOWS Directory Mon Apr 04 15:45:16 2005 => Scanning Folder: C:\WINDOWS\*.* Mon Apr 04 15:45:16 2005 => Scanning File C:\WINDOWS\0.log [**] Mon Apr 04 15:45:16 2005 => Scanning File C:\WINDOWS\a95kfrhe.exe Mon Apr 04 15:45:16 2005 => File C:\WINDOWS\a95kfrhe.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:16 2005 => File C:\WINDOWS\bfwxedf.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:17 2005 => File C:\WINDOWS\cqsmvpg.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:17 2005 => File C:\WINDOWS\fpqpehp.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:20 2005 => File C:\WINDOWS\minigolf_affiliate.exe infected by "not-a-virus:AdWare.MetaDirect.b" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:22 2005 => File C:\WINDOWS\rrvphlg.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:26 2005 => File C:\WINDOWS\xmswjip.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken. Mon Apr 04 15:45:31 2005 => File C:\WINDOWS\System32\bootvid8.exe infected by "not-a-virus:AdWare.AdSrve.c" Virus. Action Taken: No Action Taken. Mon Apr 04 15:46:00 2005 => File C:\WINDOWS\System32\HyperLinker2.exe infected by "not-a-virus:AdWare.MDH.a" Virus. Action Taken: No Action Taken. Mon Apr 04 15:46:19 2005 => File C:\WINDOWS\System32\maxspeed.exe infected by "Trojan.Win32.VB.od" Virus. Action Taken: No Action Taken. Mon Apr 04 15:46:38 2005 => File C:\WINDOWS\System32\mxxaoaaa.exe infected by "Trojan.Win32.StartPage.ww" Virus. Action Taken: No Action Taken. Mon Apr 04 15:46:45 2005 => File C:\WINDOWS\System32\ocpa.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken. Mon Apr 04 15:46:52 2005 => File C:\WINDOWS\System32\q17i9a4j.exe infected by "not-a-virus:AdWare.Sahat.o" Virus. Action Taken: No Action Taken. Mon Apr 04 15:47:22 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken. Mon Apr 04 15:47:37 2005 => ***** Scanning complete. ***** Mon Apr 04 15:47:37 2005 => Total Objects Scanned: 3327 Mon Apr 04 15:47:37 2005 => Total Virus(es) Found: 31 Mon Apr 04 15:47:37 2005 => Total Disinfected Files: 0 Mon Apr 04 15:47:37 2005 => Total Files Renamed: 0 Mon Apr 04 15:47:37 2005 => Total Deleted Objects: 0 Mon Apr 04 15:47:37 2005 => Total Errors: 7 Mon Apr 04 15:47:37 2005 => Time Elapsed: 00:03:28 Mon Apr 04 15:47:37 2005 => Virus Database Date: 2005/04/04 Mon Apr 04 15:47:37 2005 => Virus Database Count: 124577 Mon Apr 04 15:47:37 2005 => Scan Completed. gibts noch hoffnung? |
|
|
||
04.04.2005, 16:33
Ehrenmitglied
Beiträge: 29434 |
#54
Hallo@
http://www.trendmicro.com/vinfo/grayware/graywareDetails.asp?SNAME=ADW_HYPLINKER.A Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE>Software # Again in the left panel, right-click the following key(s) and choose Delete: Xhrmy HKEY_CLASSES_ROOT # Again in the left panel, right-click the following key(s) and choose Delete: LinkMaker.LinkMakerFilter LinkMaker.LinkMakerFilter.1 LinkMaker.LinkTracker LinkMaker.LinkTracker.1 HKEY_CLASSES_ROOT>CLSID # Again in the left panel, right-click the following key(s) and choose Delete: {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} {DFAA31C8-A356-4313-9D95-5EDAB46C5070} HKEY_CLASSES_ROOT>Interface # Again in the left panel, right-click the following key(s) and choose Delete: {43B32A8D-3C3D-4969-B44E-CDCF0D233881} HKEY_CLASSES_ROOT>TypeLib # Again in the left panel, right-click the following key(s) and choose Delete: {423550E9-2F83-4678-9929-C1774088B180} HKEY_LOCAL_MACHINE>Software # Again in the left panel, right-click the following key(s) and choose Delete: LM HKEY_LOCAL_MACHINE>Software>Classes # Again in the left panel, right-click the following key(s) and choose Delete: LinkMaker.LinkMakerFilter LinkMaker.LinkMakerFilter.1 LinkMaker.LinkTracker LinkMaker.LinkTracker.1 HKEY_LOCAL_MACHINE>Software> Classes>CLSID # Again in the left panel, right-click the following key(s) and choose Delete: {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} HKEY_LOCAL_MACHINE>Software> Classes>CLSID # Again in the left panel, right-click the following key(s) and choose Delete: {DFAA31C8-A356-4313-9D95-5EDAB46C5070} HKEY_LOCAL_MACHINE>Software> Classes>Interface # Again in the left panel, right-click the following key(s) and choose Delete: {43B32A8D-3C3D-4969-B44E-CDCF0D233881} HKEY_LOCAL_MACHINE>Software> Classes>TypeLib # Again in the left panel, right-click the following key(s) and choose Delete: {423550E9-2F83-4678-9929-C1774088B180} HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Uninstall # Again in the left panel, right-click the following key(s) and choose Delete: HyperLinker HKEY_CLASSES_ROOT>PROTOCOLS>Filter # Again in the left panel, right-click the following key(s) and choose Delete: text/html HKEY_LOCAL_MACHINE>Software>Classes> PROTOCOLS>Filter # Again in the left panel, right-click the following key(s) and choose Delete: text/html mit rechtsklick loeschen: HKCU\Software\LQ HKLM\Software\ohbbackup HKLM\Software\Elitum # Close Registry Editor. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemld32.exe O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM\Loader.dll C:\windows\system32\taskmg.exe C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\WINDOWS\desktop.html C:\WINDOWS\Web\desktop.html C:\r.exe C:\WINDOWS\System32\spoolsrv32.exe C:\WINDOWS\EliteSideBar C:\windows\system32\elitemld32.exe C:\WINDOWS\Xhrmy.exe C:\WINDOWS\a95kfrhe.exe C:\WINDOWS\system32\ap9h4qmo.exe C:\WINDOWS\system32\q17i9a4j.exe C:\WINDOWS\system32\qh4mkbv9.dll C:\WINDOWS\a95kfrhe.exe C:\WINDOWS\bfwxedf.exe C:\WINDOWS\cqsmvpg.exe C:\WINDOWS\fpqpehp.exe C:\WINDOWS\minigolf_affiliate.exe C:\WINDOWS\rrvphlg.exe C:\WINDOWS\xmswjip.exe C:\WINDOWS\System32\bootvid8.exe C:\WINDOWS\System32\HyperLinker2.exe C:\WINDOWS\System32\maxspeed.exe C:\WINDOWS\System32\mxxaoaaa.exe C:\WINDOWS\System32\ocpa.exe C:\WINDOWS\System32\wldr.dll PC neustarten FxIstbar.exe http://bilder.informationsarchiv.net/Nikitas_Tools/FxIstbar.exe Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) •Online-Scann (Panda)--> poste mir, was angezeigt wird http://www.pandasoftware.com/activescan/com/activescan_principal.htm #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 19:04
...neu hier
Beiträge: 3 |
#55
Hi alle zusammen,
ich hab auch das Problem mit "topantispyware" aber ich habe keinen Plan wie ich das wieder von meinem Pc weg bekomm. Ich hab mir zwar mal alles im Forum durch gelesen aber ich versteh nur "BAHNHOF". Könnte mir mal jemand alles erklären wie ich des wieder runter bekomm??? |
|
|
||
06.04.2005, 19:04
...neu hier
Beiträge: 5 |
#56
ich hab jetzt alles so gemacht wie du vorgeschlagen hast
popupadverts gibts aber nach wie vor sobald ich online und nicht im abgesicherten modus bin ich hab hier noch zwei misteriöse ordner auf C: !submit Bases_X in !submit befinden sich so illustre sachen wie: catsrv32.exe spoolsrv32.exe srpcsrv32.dll taskmg.exe und noch ein paar mehr ,die ich ja inzwischen schon mehrfach an anderer stelle gelöscht hatte kann ich die einfach loeschen? ----------------------------------------------------------------- hier das log von panda: Incident Status Location Adware:Adware/eZula No disinfected C:\ezStub.exe Adware:Adware/nCase No disinfected C:\Programme\180solutions Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar Adware:Adware/PurityScan No disinfected Windows Registry Adware:Adware/PowerScan No disinfected C:\Programme\Power Scan Adware:Adware/SAHAgent No disinfected Windows Registry Adware:Adware/StatBlaster No disinfected C:\Programme\WildArcade Adware:Adware/BHO No disinfected Windows Registry Adware:Adware/CWS.Yexe No disinfected C:\WINDOWS\System32\services Spyware:Spyware/TVMedia No disinfected C:\Programme\TV Media Adware:Adware/MediaTickets No disinfected Windows Registry Adware:Adware/SideSearch No disinfected C:\Programme\sep Adware:Adware/IEDriver No disinfected C:\Programme\MaxSpeed Adware:Adware/SideFind No disinfected C:\Programme\SideFind Spyware:Spyware/Overpro No disinfected C:\Overpro-* Adware:Adware/EliteBar No disinfected C:\WINDOWS\EliteSideBar Adware:Adware/ESyndicate No disinfected C:\Programme\eSyndicate Adware:Adware/IEDriver No disinfected C:\!Submit\catsrv32.exe Adware:Adware/ESyndicate No disinfected C:\!Submit\esyn.dll Adware:Adware/WinAD No disinfected C:\!Submit\MediaAccess.exe Adware:Adware/PurityScan No disinfected C:\!Submit\pki.dll Adware:Adware/SideSearch No disinfected C:\!Submit\sep.dll Adware:Adware/TopSpyware No disinfected C:\!Submit\spoolsrv32.exe Adware:Adware/MyWebSearch No disinfected C:\!Submit\SVCHOST.DLL Adware:Adware/MyWebSearch No disinfected C:\!Submit\SVCHOST.EXE Adware:Adware/MyWebSearch No disinfected C:\!Submit\SVCHOST32.DLL Adware:Adware/StatBlaster No disinfected C:\!Submit\UnsF.exe Adware:Adware/PurityScan No disinfected C:\Buddy.exe Adware:Adware/Apropos No disinfected C:\cxtpls_loader.exe Adware:Adware/PurityScan No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-339.dll Adware:Adware/SideSearch No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-365.dll Adware:Adware/ESyndicate No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-632.dll Spyware:Spyware/Overpro No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.dll Adware:Adware Program No disinfected C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.inf Adware:Adware/eZula No disinfected C:\ezStub.exe Adware:Adware/MemoryWatcher No disinfected C:\MemoryWatcher_b.exe Adware:Adware/IEDriver No disinfected C:\Overpro-401.exe Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar\cmctl.dll Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar\istbarcm.dll Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher\MemoryWatcher.exe Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher\TrayIcon.ocx Adware:Adware/MemoryWatcher No disinfected C:\Programme\MemoryWatcher\uninst.exe Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Adware:Adware/SideFind No disinfected C:\Programme\SideFind\update\sidefind.exe Adware:Adware/Apropos No disinfected C:\Programme\WildArcade\BlasterBlocks\blasterblocks.exe Adware:Adware/Apropos No disinfected C:\Programme\WildArcade\BlasterBlocks\uninst.exe Adware:Adware/SAHAgent No disinfected C:\RECYCLER\S-1-5-21-37378234-2437277671-358042210-500\Dc15.exe Spyware:Spyware/BetterInet No disinfected C:\thin-85-1-x-x.exe Adware:Adware/MediaTickets No disinfected C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF Adware:Adware/SAHAgent No disinfected C:\WINDOWS\Downloaded Program Files\setup4002b.ini Virus:Trj/StartPage.HX Disinfected C:\WINDOWS\ewtcgxh.exe Virus:Trj/StartPage.HX Disinfected C:\WINDOWS\rybpkhk.exe Adware:Adware/IEDriver No disinfected C:\WINDOWS\system32\CFFtp047.exe Adware:Adware/PurityScan No disinfected C:\WINDOWS\system32\ocpa.exe Adware:Adware/IEDriver No disinfected C:\WINDOWS\system32\SearchBar.htm Adware:Adware/IEDriver No disinfected C:\WINDOWS\system32\Searchx.htm Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F}\SVCHOST.DLL Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F}\SVCHOST.EXE Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F}\SVCHOST32.DLL Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932}\SVCHOST.DLL Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932}\SVCHOST.EXE Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932}\SVCHOST32.DLL Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST.DLL Adware:Adware/MyWebSearch No disinfected C:\WINDOWS\system32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF}\SVCHOST32.DLL ----------------------------------------------------------------- hier das log von antivir: C:\ MemoryWatcher_b.exe [FUND!] Ist das Trojanische Pferd TR/Sandbox.A WURDE GELÖSCHT! pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\!Submit sep.dll [FUND!] Ist das Trojanische Pferd TR/Septic.A WURDE GELÖSCHT! SVCHOST.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.2 WURDE GELÖSCHT! SVCHOST.EXE [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN WURDE GELÖSCHT! SVCHOST32.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.3 WURDE GELÖSCHT! UnsF.exe [FUND!] Ist das Trojanische Pferd TR/Stomcc.3 WURDE GELÖSCHT! C:\Dokumente und Einstellungen\bbj\Desktop\backups backup-20050404-122558-365.dll [FUND!] Ist das Trojanische Pferd TR/Septic.A WURDE GELÖSCHT! backup-20050404-122601-676.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.KaTum.5 WURDE GELÖSCHT! Fehler beim Wechsel in das Verzeichnis maddin C:\FoxServ\www\c agChat-andr3a-8819.zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\FoxServ\www\isihcontenido contenido-4.4.4.zip Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Program Files\Media Access MediaAccC.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.MediaPa.1.A WURDE GELÖSCHT! C:\Programme\ISTbar cmctl.dll [FUND!] Ist das Trojanische Pferd TR/IstBar.AQ.2 WURDE GELÖSCHT! istbarcm.dll [FUND!] Ist das Trojanische Pferd TR/IstBar.AQ.1 WURDE GELÖSCHT! C:\Programme\Macromedia\Flash MX\Players\Debug Install Flash Player 6 OSX.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt Install Flash Player 6.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Programme\Macromedia\Flash MX\Players\Release Install Flash Player 6 OSX.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt Install Flash Player 6.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Programme\Macromedia\Flash MX 2004\Players\Debug Install Flash Player 7 OSX.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt Install Flash Player 7.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Programme\Macromedia\Flash MX 2004\Players\Release Install Flash Player 7 OSX.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt Install Flash Player 7.hqx ArchiveType: BinHex (Mac) HINWEIS! Das Archiv ist unbekannt oder defekt C:\Programme\Security iGuard database.dat ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Programme\SideFind\update sidefind.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.BB WURDE GELÖSCHT! C:\Programme\WildArcade\BlasterBlocks blasterblocks.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.BlaBlockz.2 WURDE GELÖSCHT! C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\RECYCLER\S-1-5-21-37378234-2437277671-358042210-1006 Dc4.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis Dc1 Fehler beim Wechsel in das Verzeichnis Dc2 Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS helpcach.ini Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB824141$ user32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! win32k.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB826939$ cryptsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! shell32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! srrstr.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! srv.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! user32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! winsrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB828035$ msgsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wkssvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB828741$ catsrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! catsrvut.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! clbcatex.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! clbcatq.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! colbact.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comadmin.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comrepl.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comsvcs.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comuid.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! es.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msdtcprx.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msdtctm.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msdtcuiu.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mtxclu.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mtxoci.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ole32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rpcrt4.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rpcss.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! txflog.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB833407$ bssym7.ttf Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB835732$ callcont.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! gdi32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! h323.tsp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! h323msp.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ipnathlp.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! lsasrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mf3216.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msasn1.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msgina.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mst120.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! netapi32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! nmcom.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rtcdll.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! schannel.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallQ828026$ msdxm.ocx Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wmp.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\Downloaded Program Files rdgDE1882.exe [FUND!] Ist das Trojanische Pferd TR/Spy.OBLoader WURDE GELÖSCHT! C:\WINDOWS\Downloaded Program Files\CONFLICT.1 rdgDE1882.exe [FUND!] Ist das Trojanische Pferd TR/Spy.OBLoader WURDE GELÖSCHT! C:\WINDOWS\EliteSideBar EliteSideBar 08.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\EliteToolBar EliteToolBar version 60.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system MSE_System.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32 ?hkdsk.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\ActiveScan imscan.dll [FUND!] Enthält Signatur des Micro-128 (C)-Virus WURDE GELÖSCHT! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\Services\{AA6E6C1F-06CF-42FE-9E1F-75729DE1144F} SVCHOST.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.2 WURDE GELÖSCHT! SVCHOST.EXE [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN WURDE GELÖSCHT! SVCHOST32.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.3 WURDE GELÖSCHT! C:\WINDOWS\system32\Services\{B71484AC-CFD6-45B3-8586-AD1FE8DA5932} SVCHOST.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.2 WURDE GELÖSCHT! SVCHOST.EXE [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN WURDE GELÖSCHT! SVCHOST32.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.3 WURDE GELÖSCHT! C:\WINDOWS\system32\Services\{F0883CB5-3AD0-4CD3-B048-552A88774BEF} SVCHOST.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.2 WURDE GELÖSCHT! SVCHOST32.DLL [FUND!] Enthält Signatur des Droppers DR/Agent.DF.3 WURDE GELÖSCHT! ---------------------------------------------------------------- hier das letzte hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 18:38:44, on 06.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ULTRAE~1\UEDIT32.EXE C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\All Users\anti\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Shedule Player] C:\WINDOWS\System32\mshtegdb.exe O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112746354060 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O21 - SSODL: Meeting Agent - {C36C5FFC-E058-4BF1-AB9B-1FEA3B680F38} - C:\WINDOWS\System32\c_86base.dll O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) --------------------------------------------------------------- ich hoffe du hast nochmal lust dir das anzuschauen... gruss maddin |
|
|
||
06.04.2005, 20:34
Ehrenmitglied
Beiträge: 29434 |
#57
Hallo@mad-din
Fixe mit dem HijackThis: O4 - HKLM\..\Run: [Shedule Player] C:\WINDOWS\System32\mshtegdb.exe O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O21 - SSODL: Meeting Agent - {C36C5FFC-E058-4BF1-AB9B-1FEA3B680F38} - C:\WINDOWS\System32\c_86base.dll neustarten ------------------------------------------------------------------------------------------------------------------------- Loesche mit der Killbox: C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll C:\WINDOWS\system\MSE_System.dll C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll C:\WINDOWS\system32\?hkdsk.exe C:\Programme\Security iGuard\database.dat C:\!Submit\catsrv32.exe C:\!Submit\esyn.dll C:\!Submit\MediaAccess.exe C:\!Submit\pki.dll C:\!Submit\sep.dll C:\!Submit\spoolsrv32.exe C:\!Submit\SVCHOST.DLL C:\!Submit\SVCHOST.EXE C:\!Submit\SVCHOST32.DLL C:\!Submit\UnsF.exe C:\Buddy.exe C:\cxtpls_loader.exe C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-339.dll C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-365.dll C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122558-632.dll C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.dll C:\Dokumente und Einstellungen\bbj\Desktop\backups\backup-20050404-122601-676.inf C:\Programme\ISTbar\cmctl.dll C:\Programme\ISTbar\istbarcm.dll C:\Programme\MemoryWatcher\MemoryWatcher.exe C:\Programme\MemoryWatcher\TrayIcon.ocx C:\Programme\MemoryWatcher\uninst.exe C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL C:\Programme\SideFind\update\sidefind.exe C:\Programme\WildArcade\BlasterBlocks\blasterblocks.exe C:\Programme\WildArcade\BlasterBlocks\uninst.exe C:\RECYCLER\S-1-5-21-37378234-2437277671-358042210-500\Dc15.exe C:\thin-85-1-x-x.exe C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF C:\WINDOWS\Downloaded Program Files\setup4002b.ini C:\WINDOWS\ewtcgxh.exe C:\WINDOWS\rybpkhk.exe C:\WINDOWS\system32\CFFtp047.exe C:\WINDOWS\system32\ocpa.exe C:\WINDOWS\system32\SearchBar.htm C:\WINDOWS\system32\Searchx.htm C:\WINDOWS\System32\mshtegdb.exe c:\windows\system32\taskmg.exe C:\WINDOWS\System32\c_86base.dll PC neustarten CCleaner http://www.ccleaner.com/ccdownload.asp poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 21:15
Ehrenmitglied
Beiträge: 29434 |
#58
Hallo@Sunny_15
HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2005, 12:41
...neu hier
Beiträge: 7 |
#59
Hallo,
ich habe mir irgendwie eine Spyware oder ähnliches eingefangen und absolut null Erfahrung mit dieser Art von Attacken. Auf meinem Desktop erscheint ein schwarzer Hintergrund mit der Warnung, dass Windows Spyware auf meinem Rechner gefunden habe. Ich bin dann beim verzweifelten Versuch das "Ding" wieder loszuwerden, auf dieses Forum gestossen und hoffe, dass mir hier geholfen werden kann. Hier eine Logfile vom HiJacker: Logfile of HijackThis v1.99.1 Scan saved at 08:18:02, on 07.04.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\cisvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\ECS\BU5\Hotkey\Hotkey.exe C:\WINNT\System32\sistray.EXE C:\WINNT\System32\khooker.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\system32\pctspk.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINNT\gtwatch.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINNT\Dit.exe C:\WINNT\DitExp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\WINNT\twain_32\S6U12K\WATCH.exe C:\WINNT\system32\spool\DRIVERS\W32X86\3\cnmsm58.exe C:\WINNT\System32\cidaemon.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Chris1\LOKALE~1\Temp\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ECSBU5Hotkey] C:\Programme\ECS\BU5\Hotkey\Hotkey.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O4 - Startup: BJ Status Monitor Canon i560.lnk = C:\Dokumente und Einstellungen\Chris1\cnmss Canon i560 (Local).exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O4 - Global Startup: Watch.lnk = C:\WINNT\twain_32\S6U12K\WATCH.exe O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/KSK_Biberach/srwso2001.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B496D9F-8460-4855-9C66-2C2A57D03F56}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe P.S.: Ich habe keine Ahnung, ob ich das mit dem Posting überhaupt richtig mache! Wenn nicht, bitte ich um Entschuldigung und Berichtigung. Vielen Dank schon mal im Voraus! Chriwa |
|
|
||
07.04.2005, 13:30
Ehrenmitglied
Beiträge: 29434 |
#60
Hallo@Chriwa
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Start<Ausfuehren<regedit +HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2.dll (file missing) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINNT\system32\vbsys2.dll C:\WINNT\System32\runsrv32.exe C:\WINNT\System32\runsrv32.dll C:\WINNT\System32\txfdb32.dll C:\WINNT\System32\srpcsrv32.dll C:\WINNT\System32\runsvc32.exe C:\WINNT\System\runsrv32.dll C:\WINNT\System32\spoolsrv32.exe C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\WINNT\desktop.html C:\WINNT\Web\desktop.html C:\r.exe PC neustarten suche und loesche:Speedy.bat Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert. falls du es findestloeschen) •C:\Program Files\TopAntiSpyware •C:\WINNT\desktop.html •C:\WINNT\Web\desktop.html so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste •C:\WINNT\Web\desktop.html •C:\WINNT\SSICO.ICO •C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url •C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url •Download NOD32 Antivirus System http://www.nod32.de/download/download.php gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml scanne mit NOD32 und Antivirus (im abgesicherten Modus) Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zitat
soll ich alle häkchen setzen ???
Zitat
was muß ich damit machen ???