topantispyware.com läßt sich nicht entfernen |
||
---|---|---|
#0
| ||
17.04.2005, 21:23
...neu hier
Beiträge: 3 |
||
|
||
18.04.2005, 10:35
Ehrenmitglied
Beiträge: 29434 |
#92
Hallo@maphidal
Fixe mit dem HijackThis: O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab neustarten C:\Windows\Downloaded Program Files\popcaploader.dll <---loeschen C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WX81EP2L<---loeschen popcaploader_v5[1].cab ArchiveType: CAB (Microsoft) --> PopCapLoader.dll du musst also die *temp-Datein loeschen. ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - index.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.04.2005, 10:44
Ehrenmitglied
Beiträge: 29434 |
#93
Hallo@Dajo
ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - index.dat mache bitte Onlinescanns (falls eine Virenmeldung vom Antivirus kommt, --> beim Pandascann-->bitte ignorieren) dann berichte von den scanns •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2005, 21:28
...neu hier
Beiträge: 10 |
#94
Hallo Sabina,
Fixe mit dem HijackThis: O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab habe ich gemacht inkl. neustarten C:\Windows\Downloaded Program Files\popcaploader.dll <---loeschen C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WX81EP2L<---loeschen popcaploader_v5[1].cab ArchiveType: CAB (Microsoft) --> PopCapLoader.dll du musst also die *temp-Datein loeschen. konnte ich beim besten Willen nicht finden u.U. schon durch Ad-Aware SE und MSAntispyware erkannt und entfernt !? ClaerProg..lade die neuste Version <1.4.1 habe ich runter geladen, aber da Du von neuester Version sprachst - habe ich ClearProg 1.4.2 Beta genommen OK? hoffentlich habe ich alles richtig gemacht-is nu alles gut-danke Daniel ;-) |
|
|
||
21.04.2005, 14:12
...neu hier
Beiträge: 2 |
#95
könnte mir das nochmal wer schritt für schritt erlären entschuldige bin kommplett neu und kenne mich nicht aus
naja hab mir jetzt hijackthis und Killbox runtergeladen thx schon mal im vorhinein |
|
|
||
21.04.2005, 15:06
Ehrenmitglied
Beiträge: 29434 |
#96
Hallo@Go11um
wenn ich das Log vom HijackThis mal sehen koennte ? HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.04.2005, 15:22
...neu hier
Beiträge: 2 |
#97
wow danke für die schnelle untertützung
Logfile of HijackThis v1.99.1 Scan saved at 15:23:29, on 21.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe G:\Norton\Norton Anti Virus\Norton Ghost\GhostStartService.exe G:\Norton\Norton Anti Virus\Norton Antivirus\navapsvc.exe G:\Norton\NORTON~1\NORTON~2\NPROTECT.EXE G:\Norton\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe G:\Norton\Norton Anti Virus\Norton Ghost\GhostStartTrayApp.exe G:\Norton\Norton Anti Virus\Password Manager\AcctMgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe H:\Pop-Up-Closer\PopWall.exe H:\Win Amp5\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\MSPRCSS32.exe G:\Firewall\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\MSPRCSS32.exe C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe G:\Norton\Norton Anti Virus\Norton Antivirus\SAVScan.exe H:\Logitech_Maus\MouseWare\system\em_exec.exe C:\WINDOWS\System32\smsse.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ F2 - REG:system.ini: Shell=Explorer.exe smsse.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - G:\Shareaza\Plugins\RazaWebHook.dll O2 - BHO: (no name) - {6DE62123-2311-4CFB-9F54-878A22D34AF2} - (no file) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Norton\Norton Anti Virus\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Norton\Norton Anti Virus\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] G:\Norton\Norton Anti Virus\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] G:\Norton\Norton Anti Virus\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [robobo] C:\Programme\mech\startmech.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nstat] C:\WINDOWS\system32\dllcache\netstat.exe O4 - HKLM\..\Run: [PopWall] H:\Pop-Up-Closer\PopWall.exe O4 - HKLM\..\Run: [WinampAgent] H:\Win Amp5\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MS Windows Process Class] MSPRCSS32.exe O4 - HKLM\..\Run: [Zone Labs Client] "G:\Firewall\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [MS Windows Process Class] MSPRCSS32.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [System Update4] c:\dokume~1\michael\anwend~1\webcheck.exe O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvrs.exe O4 - HKCU\..\Run: [MS Windows Process Class] MSPRCSS32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SATARaid.lnk = ? O8 - Extra context menu item: Download with &Shareaza - res://G:\Shareaza\Plugins\RazaWebHook.dll/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab O16 - DPF: {23232323-2323-2323-2323-232323231122} - file://c:\x.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {B562BC94-9A3A-4760-AE48-0D52FD01B1B5} (VeriSign Software Update Service) - http://download.verisign-grs.com/plug-in/i-navinstall.cab O16 - DPF: {D1222EBB-F86E-4D6C-826A-B342A3D36D99} (VacPro.austria_ver3) - http://www.advnt01.com/dialer/austria_ver3.CAB O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{37F13F4B-1B1E-4CFF-BCBD-11A7C6254533}: NameServer = 195.3.96.67 195.3.96.68 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GhostStartService - Symantec Corporation - G:\Norton\Norton Anti Virus\Norton Ghost\GhostStartService.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - G:\Norton\Norton Anti Virus\Norton Antivirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - G:\Norton\NORTON~1\NORTON~2\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - G:\Norton\Norton Anti Virus\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Speed Disk service - Symantec Corporation - G:\Norton\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
21.04.2005, 17:07
Ehrenmitglied
Beiträge: 29434 |
#98
Hallo@Go11um
http://virus-protect.org/seite1.html Suche bitte recht schnell deine XP-CD und formatiere (und nimm diese Viren/Wuermer/Backdoor-Schleuder aus dem Netz __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.04.2005, 18:50
Member
Beiträge: 15 |
#99
Hallo Sabina, ich bin am Ende hab alles versucht. Ich hab ihn aus dem system32 rausbekommen glaub ich aber dieses Html Fenster auf meinem desktop ist noch da aber nur in weiss ohne schrift. wie bekomme ich dieses mistding weg ??? Da du hier am meisten bescheid weisst danke schonmal im vorraus! Sehr nice von dir alles.
Hier hab ich noch diese Hijack Logfile, fals das was bringt. Logfile of HijackThis v1.99.1 Scan saved at 18:47:04, on 21.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Matt Murphy\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AF086372-9C16-41F0-8AEC-5D1A38821B7E}: NameServer = 195.50.140.252 195.50.140.250 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE (file missing O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing) O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Wie gesagt diese Ausrfezeichen ist auch weg unten in der leiste und das alle 5 minuten widerkehrende fenster kommt auch nicht mehr, aber mein desktop ist weiss, wenn ich auf eigenschaften gehe, zeigt er mir an, dass es ein html-dokument ist. mein normaler hintergrund befindet sich dahinter. Arghhh. Bitte um Antwort, danke. |
|
|
||
22.04.2005, 01:17
Member
Beiträge: 15 |
#100
Hallo Sabina,
erstmal danke für die erste anweisung! Hab Stinger 2 mal durchlaufen lassen, danach hab ich getservice.zip runtergeladen ---> ''getservice.bat'' doppelgeklickt und im getservice-Editor steht jetzt folgendes: SERVICE_NAME: COM+ System Service (null) TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\system32\SSMS.EXE LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : COM+ System Service DEPENDENCIES : SERVICE_START_NAME: LocalSystem SERVICE_NAME: NETDDEC (null) TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:\WINDOWS\System32\service.exe LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Network DDE Connections DEPENDENCIES : SERVICE_START_NAME: LocalSystem --------------------------------------------------------------------------- So und was jetzt ? Hoffe das hilft mir(dir) weiter, oh man wirklich danke ! Ich warte dann auf Antwort, Gruss Halbos. |
|
|
||
22.04.2005, 01:24
Ehrenmitglied
Beiträge: 29434 |
#101
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.04.2005, 01:59
Member
Beiträge: 15 |
#102
Ok nun alles nacheinander:
Au man ich hab beide dateien schon ganz vorhin im abgesicherten modus gelöscht !!! (Danach war auch alles weg bis auf dieses html ding auf dem desktop) C:\WINDOWS\System32\ssms.exe C:\WINDOWS\System32\service.exe Alle beide gelöscht, sind nicht mehr da! --------------------- Und wenn ich hier nachgucke ---> C:\\Documents and Settings\\user\\Desktop\\COMSS_results.txt Da stehen nur 5 von mir installierte Programme und meine Internetverbindung. Also gesamt 6 ''Sachen''. Nichts von .......COMSS_results.txt oder ....NETDDEC_results.txt --------------- So bei ''Dienste'' sieht es so aus, ich habe den ''"COM+ System Service und Network DDE Connections (NETDDEC)" deaktiviert, er heisst bei mir aber nur ''COM+ System Service'' , aber das ist wahrscheinlich das selbe. ---------------------- So im Registrierungs-Editor findet er alle 6 nicht !!! -------> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMCSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COMCSVC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COMCSVC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDEC Keinen findet er. ----------------------------------- Jetzt zu ''Silentrunners......'' Hier was im Editor stand: "Silent Runners.vbs", revision 35, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIPTA" = "C:\ATI-CPanel\atiptaxx.exe" ["ATI Technologies, Inc."] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "InCD" = "C:\Programme\Ahead\InCD\InCD.exe" [null data] "DSLSTATEXE" = "C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon" [file not found] "DSLAGENTEXE" = "dslagent.exe" [file not found] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS] Enabled Wallpaper and Active Desktop: ------------------------------------- Active Desktop is enabled. HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Dokumente und Einstellungen\Matt Murphy\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" Startup items in "Matt Murphy" & "All Users" startup folders: ------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Messenger" "Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] SmartLinkService, SLService, "slserv.exe" [" "] ---------- This report excludes default entries except where indicated. To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. ---------- ----------------------------------------------------------------------- Ich werde noch wahnsinnig, was ist denn hier los ??? Bitte nochmal um hilfe, und vielen vielen dank!!! Gruss halbos. PS. @ Sabina Wollte noch was anmerken wenn ich auf das weisse gehe was meinen desktop beherscht mit rechter maustaste und die Eigenschaften aufrufe gibt er folgendes an: Eigenschaften Allgemein Protokoll: File Protocol Typ: HTML Document Verbindung: Nicht verschlüsselt Adresse (URL): file://C:\WINDOWS\Web\desktop.html Größe: Nicht verfügbar Erstellt am: Nicht verfügbar Geändert am: Nicht verfügbar So und wenn ich ganz an den oberen Rand gehe und dann rechte maustaste---> Eigenschaften drücke, dann kommen die normalen ''Eigenschaften von Anzeige'' zum Vorschein. Ich vollidiot hab garnicht erwähnt das es um den topantispyware virus geht !!! Ich bin ein bischen durch den wind au man. Also das was jetzt weiss ist auf dem desktop da stand vorher dieser quatsch mit ''Your computer is ....dadadada'' Und jetzt ist es weiss. Bin dir sehr dankbar, Gruss @ Sabina--> halbos Dieser Beitrag wurde am 22.04.2005 um 02:33 Uhr von Halbos editiert.
|
|
|
||
22.04.2005, 11:02
Ehrenmitglied
Beiträge: 29434 |
#103
Hallo@Halbos
Start-->Ausfuehren-->regedit loeschen, was blau ist. HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste ----------------------------------------------------------------------- suche-->loesche--> C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\spoolsrv32.exe C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\r.exe Speedy.bat •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: NETDDEC Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: COM+ System Service Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) •Online-Scann (Panda)--> wenn der Antivirus "meckert"--> ignorieren Berichte dann vom Scann http://www.pandasoftware.com/activescan/com/activescan_principal.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.04.2005, 12:59
...neu hier
Beiträge: 10 |
#104
Hallo Sabina,
will Dir nicht auf die Nerven gehen-und auch mal vielen Dank für Deine tolle Hilfe - kann ich davon ausgehen das bei mir jetzt alles in Ordnung ist!? Gruß Daniel |
|
|
||
22.04.2005, 13:06
Ehrenmitglied
Beiträge: 29434 |
#105
Hallo@maphidal
popcaploader.dll ist geloescht? Dann ist alles o.k. Download the beta* of our new anti-spyware software today http://www.microsoft.com/athome/security/spyware/software/default.mspx Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) www.windowsupdate.com 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Nochmal vielen Dank für die schnelle Antwort und die super Hilfe. Hab alles so gemacht wie du es gesagt hast und hier ist der neue log von HijacktHis:
Logfile of HijackThis v1.99.1
Scan saved at 21:16:01, on 17.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\David\LOKALE~1\Temp\Rar$EX01.750\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.toysrus.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.toysrus.de/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/275d6d4e5f383513da18/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
Ich hoffe du kannst mir helfen und schon mal Danke für deine Bemühungen
Mfg Dajo