topantispyware.com läßt sich nicht entfernen |
||
---|---|---|
#0
| ||
26.04.2005, 01:09
Ehrenmitglied
Beiträge: 29434 |
||
|
||
26.04.2005, 08:23
Member
Beiträge: 15 |
||
|
||
26.04.2005, 20:56
...neu hier
Beiträge: 2 |
#123
Hi Sabina,
hab leider dann noch die Panik gekriegt nachdem ich beim Pandascan über 200 viren hatte und keine anzeigeeinstellungen mehr vornehmen konnte. hab nochmal drüberinstalliert, scheint jetzt auch zu gehen obwohl ich noch ein popupfenster von aurora im IE kriege. wiedemauch sei, jetzt werde ich aber den avast! zugriffsscanner nicht mehr los. wie kann man den denn wieder deinstallieren? das ist doch trialware, oder hab ich mich da verlesen? noch eine ganz andere Frage, gehört jetzt gar nicht hierher, sorry, aber wie fromatiere ich C wenn ich darauf arbeite, und keine Partitionen bzw andere festplatten hab? Ich will nämlich nochmal alles von ganz vorne machen, und mir dann ein image brennen, ist nämlich der laptop meiner mutter, und die ist schon ganz schön sauer wenn mal ein fenster daherkommt das sie nicht versteht. vielen dank aber auf jeden fall für die Hilfe von vorher! |
|
|
||
26.04.2005, 22:12
...neu hier
Beiträge: 10 |
#124
Hallo Sabina,
die zwei unten aufgeführten Programme habe ich installiert, habe bis jetzt nichts auffälliges mehr bemerkt, vielen Dank nochmals für deine tolle Hilfe - ohne Dich und deine super Hilfe wäre ich nicht soweit gekommen-und obwohl ich eher Anwender bin war es dennoch verständlich - also nochmals V I E L E N D A N K :-) Download the beta* of our new anti-spyware software today http://www.microsoft.com/athome/security/spyware/software/default.mspx Wie kann ich das Service Pack 2 installieren? Gruß Daniel |
|
|
||
29.04.2005, 09:44
...neu hier
Beiträge: 1 |
#125
Hallo Zusammen,
heute morgen hat topantispyware bei mir auch zugeschlagen. Ich habe mir HijackThis runtergeladen, Versteckte Dateien und Systemdatein werden angezeigt, dann habe ich Hijackthis laufen lassen und das folgende bekommen: Logfile of HijackThis v1.99.1 Scan saved at 09:29:19, on 29.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\AMD\PowerNow!\GemServ.exe C:\Programme\AMD\PowerNow!\gemback.exe C:\WINDOWS\system32\cmdtel.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ahtun.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\QuickTime\qttask.exe C:\PROGRAMME\NORMAN\nvc\BIN\NYMSE.EXE C:\PROGRAMME\NORMAN\nvc\BIN\NIP.EXE C:\PROGRAMME\NORMAN\nvc\BIN\cclaw.exe C:\WINDOWS\system32\RunDll32.exe C:\windows\system32\taskmg.exe C:\WINDOWS\system32\ap9h4qmo.exe C:\Program Files\AutoUpdate\AutoUpdate.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\windows\qlldimx.exe C:\WINDOWS\system32\nmmegetguid.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50007 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file) O2 - BHO: (no name) - {63B78BC1-A711-4D46-AD2F-C581AC420D41} - C:\PROGRA~1\GEMEIN~1\WinTools\btiein.dll O2 - BHO: BRedObj Class - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll (file missing) O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - (no file) O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing) O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [Xerox WorkCentre 470cx Monitor] RUNDLL32.EXE C:\WINDOWS\System32\X470SHLL.DLL,AutoUpdatePnPValue O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bptre.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DI2] "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\27.exe\27.exe" O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\system32\ap9h4qmo.exe O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe" O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe O4 - HKLM\..\RunOnce: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe /boot O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ucgkafk] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [mumwpnj] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [bnqqcra] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [c0s7RTe9P] nmmegetguid.exe O4 - HKCU\..\Run: [enmytrq] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [euittoi] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [mgxeuye] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [pypoyca] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [lcatrhp] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [yxmcgxo] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [gcpsctl] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [sgdbqps] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [qcihxsq] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [wsjrmdb] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [jtfvrvy] c:\windows\nvuqqxu.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: financial office.lnk = C:\LEXWARE\LXOFFICE\bin\Lxoffice.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2K\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Microsoft AntiSpyware helper - {6CBC1603-42EA-44EB-BCA2-505632494437} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6CBC1603-42EA-44EB-BCA2-505632494437} - (no file) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx O16 - DPF: {8FC66DAB-6F0F-11D2-BE95-000092969D1C} (Project1.StatistikOCX1) - file://E:\Stkurs\Mod_1_3\StatistikOCX1.CAB O16 - DPF: {9178F66F-91DD-11D3-88F6-000092969D1C} (Project1.StatistikOCX2) - file://E:\Stkurs\Mod_1_3\StatistikOCX2.CAB O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O16 - DPF: {C4AC432F-91DD-11D3-88F6-000092969D1C} (Project1.StatistikOCX3) - file://E:\Stkurs\Mod_1_3\StatistikOCX3.CAB O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8360D637-CBF8-4D77-8122-E9A2782BCE88}: NameServer = 192.168.0.5 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\PowerNow!\GemServ.exe O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\system32\cmdtel.exe O23 - Service: Debug oupost relations (LAGOS) - Unknown owner - C:\WINDOWS\system32\ahtun.exe O23 - Service: Norman NJeeves - Unknown owner - C:\PROGRAMME\NORMAN\nvc\BIN\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\Norman\NVC\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Wie muss ich denn jetzt weiter vorgehen???? Vielen Dank. Gruß Martin |
|
|
||
29.04.2005, 10:30
Ehrenmitglied
Beiträge: 29434 |
#126
Hallo@tntdynamight
im abgesicherten Modus kannst du den avast elegant deinstallieren . •Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" Dann saeubere den PC, wie er jetzt ist (denke ich mal) Falls du dennoch formatieren willst: (hier findest du eine Anleitung) http://virus-protect.org/seite1.html Benutze folgendes: #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten + DAS NEUE LOG VOM HIJACKTHIS __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.04.2005, 10:47
Ehrenmitglied
Beiträge: 29434 |
#127
Hallo@MartinHB
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: Loading Outpost Connections Debug oupost relations KDE LAGOS Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) LSPfix.exe http://www.spychecker.com/program/lspfix.html <"I know what I'm doing" <--anhaken --> loesche-->flsmngr.dll #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50007 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file) O2 - BHO: (no name) - {63B78BC1-A711-4D46-AD2F-C581AC420D41} - C:\PROGRA~1\GEMEIN~1\WinTools\btiein.dll O2 - BHO: BRedObj Class - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll (file missing) O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - (no file) O2 - BHO: BRedObj Class - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll (file missing) O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll (file missing) O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bptre.exe" O4 - HKLM\..\Run: [DI2] "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\27.exe\27.exe" O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\system32\ap9h4qmo.exe O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe" O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe O4 - HKLM\..\RunOnce: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe /boot O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [ucgkafk] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [mumwpnj] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [bnqqcra] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [c0s7RTe9P] nmmegetguid.exe O4 - HKCU\..\Run: [enmytrq] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [euittoi] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [mgxeuye] c:\windows\qlldimx.exe O4 - HKCU\..\Run: [pypoyca] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [lcatrhp] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [yxmcgxo] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [gcpsctl] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [sgdbqps] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [qcihxsq] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [wsjrmdb] c:\windows\nvuqqxu.exe O4 - HKCU\..\Run: [jtfvrvy] c:\windows\nvuqqxu.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O9 - Extra button: Microsoft AntiSpyware helper - {6CBC1603-42EA-44EB-BCA2-505632494437} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6CBC1603-42EA-44EB-BCA2-505632494437} - (no file) (HKCU) O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\system32\cmdtel.exe O23 - Service: Debug oupost relations (LAGOS) - Unknown owner - C:\WINDOWS\system32\ahtun.exe PC neustarten C:\Windows\Downloaded Program Files\website.ocx C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll C:\PROGRA~1\GEMEIN~1\WinTools\btiein.dll C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe C:\PROGRA~1\GEMEIN~1\WinTools\WSup.exe C:\PROGRA~1\GEMEIN~1\WinTools\WToolsS.exe C:\Program Files\Common Files\Java\bptre.exe C:\WINDOWS\system32\ahtun.exe C:\WINDOWS\system32\cmdtel.exe C:\180saax.cab C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\WINDOWS\desktop.html C:\WINDOWS\Web\desktop.html C:\r.exe C:\WINDOWS\System32\spoolsrv32.exe C:\WINDOWS\System32\nmmegetguid.exe c:\windows\nvuqqxu.exe c:\windows\qlldimx.exe C:\Program Files\AutoUpdate\AutoUpdate.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\27.exe\27.exe C:\WINDOWS\system32\ap9h4qmo.exe C:\Programme\TheSearchAccelerator\UCMTSAIE.dll c:\Program Files\Reg2\Reg2.dll c:\Program Files\Xmod\xm320.dll PC neustarten Loeschen temporaere Dateien--> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\ zum Beispiel: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\27.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) •Online-Scann (Panda)--> berichte vom Scann http://www.pandasoftware.com/activescan/com/activescan_principal.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2005, 19:05
...neu hier
Beiträge: 3 |
#128
hi sabina!
Hiiiilfe, hab den sckarrn auch eingefangen anbei mein Logfile bitte um Hilfe. Logfile of HijackThis v1.99.1 Scan saved at 19:43:46, on 30.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\alg.exe c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\PROGRA~1\HotKeys\Ikeymain.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Lexmark 3100 Series\lxbrbmon.exe C:\Programme\Lexmark 3100 Series\lxbrcmon.exe C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE C:\WINDOWS\system32\fxssvc.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\spywaresoftware\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.at.danzas.com:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup O4 - HKLM\..\Run: [MAGIXautostart] G:\install\program\setup.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\progra~1\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SpywareKilla] "C:\PROGRA~1\SPYWAR~1\SpywareKilla.exe" /s O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4478/mcfscan.cab O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe danke für die Hilfe Alex |
|
|
||
02.05.2005, 19:54
...neu hier
Beiträge: 3 |
||
|
||
03.05.2005, 17:08
Ehrenmitglied
Beiträge: 29434 |
#130
riddle2000
Gehe in die Registry Start-->Ausfuehren-->regedit HKCU\Software\Microsoft\Internet Explorer\Desktop\Components -->loeschen--> 0 loeschen--> "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [SpywareKilla] "C:\PROGRA~1\SPYWAR~1\SpywareKilla.exe" /s O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\WINDOWS\desktop.html C:\WINDOWS\Web\desktop.html C:\r.exe C:\WINDOWS\System32\spoolsrv32.exe PC neustarten suche und loesche:Speedy.bat Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert. falls du es findest:loeschen: •C:\Program Files\TopAntiSpyware so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste •C:\WINDOWS\Web\desktop.html •C:\WINDOWS\SSICO.ICO •C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url •C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url •Download NOD32 Antivirus System http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.05.2005, 18:00
...neu hier
Beiträge: 1 |
#131
hi,
kann mir vll. auch wer helfen? weiss keinen rat mehr.. log: Logfile of HijackThis v1.99.1 Scan saved at 17:58:02, on 03.05.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Browser MOUSE\mouse32a.exe C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE C:\Programme\1&1\SMS-Manager\SMSMngr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ksta.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.royalsearch.net/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [1&1 SMS-Manager] C:\Programme\1&1\SMS-Manager\SMSMngr.exe O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {BEBBE3D1-050C-489F-B5FF-0709D6F84D91} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {BEBBE3D1-050C-489F-B5FF-0709D6F84D91} - (no file) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104581723049 O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0F320229-879F-42D4-8E8F-2041D8C8FB68}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{1724EB6E-BCBE-420B-8FC4-0946E8F28DCB}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{444C352A-940E-4259-9065-6BB06DDD1F82}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = wiedenfeld-team O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = wiedenfeld-team O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = wiedenfeld-team O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE aber bitte etwas langsamer und einfacher.. in nicht soo der crack auf dem gebiet |
|
|
||
03.05.2005, 20:41
...neu hier
Beiträge: 3 |
#132
ja hallo erstmal ich bin neu hier und ich hab auch dieses topantispyware auf meinem pc aber irgendwie komm ich mit den anleitungen überhaupt nicht klar.
ich hab mir jetzt mal dieses hijackthis geholt und mal scannen lassen und das is dabei rausgekommen : Logfile of HijackThis v1.99.1 Scan saved at 20:29:35, on 03.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) F2 - REG:system.ini: Shell=Explorer.exe O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file) O2 - BHO: FlashEnhancer Extnder - {A749B4BC-7621-4a80-9220-D0A283367DD5} - c:\Program Files\Fln\fln.dll O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [xojjwmr] c:\windows\chaemsf.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ilmolaq] c:\windows\chaemsf.exe O4 - HKCU\..\Run: [buaabyu] c:\windows\chaemsf.exe O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Microsoft AntiSpyware helper - {D3F7557B-BAB5-4D34-A7C1-8B19E6606695} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D3F7557B-BAB5-4D34-A7C1-8B19E6606695} - (no file) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{5E27F8CA-4F43-449A-8781-F0D2B2F8B02F}: NameServer = 145.253.2.11 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Crypkey License - Unknown owner - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Groove Games Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe ich würde mich wirklich sehr freuen wenn mir jemand helfen könnte. schonmal danke gruß tschobbl Dieser Beitrag wurde am 03.05.2005 um 20:45 Uhr von Tschobbl editiert.
|
|
|
||
03.05.2005, 23:13
...neu hier
Beiträge: 3 |
#133
Hallo Sabina!
Ersmals: Danke für die Tipps, waren echt toll. Ich dürfte jetzt so weit sein allerdings habe ich noch 2 kleine Probleme. Speedy.bat gibts bei mir nicht den Web reiter in Anzeige Desktop anpassen auch nicht, dementsprechend auch keine Möglichkeit Security zu löschen. Was zu tun bitte? Danke alex |
|
|
||
04.05.2005, 12:09
Ehrenmitglied
Beiträge: 29434 |
#134
Hallo@riddle2000
Gehe in die Registry Start-->Ausfuehren-->regedit HKCU\Software\Microsoft\Internet Explorer\Desktop\Components -->loeschen--> 0 loeschen--> "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" PC neustarten Rechtsklick auf das Desktop--> Eigenschaften-->Bildschirmschoner Hier findest du unten "Desktop anpassen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.05.2005, 12:27
Ehrenmitglied
Beiträge: 29434 |
#135
Hallo@Tschobbl
silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. Start-->alle Programme-->Zubehoer-->Editor und kopiere folgenden Text rein: dir c:\windows\system32\flsmngr.dll /a h > files.txt notepad files.txt <Speichern als: Findfile.bat <abspeichern unter : Dateityp: alle Dateien <speichere auf dem Desktop Locate FindFile.bat--> doppelklick auf die bat-Datei , der Editor oeffnet sich-->poste den Text dir c:\windows\chaemsf.exe /a h > files.txt notepad files.txt <Speichern als: Findfile.bat <abspeichern unter : Dateityp: alle Dateien <speichere auf dem Desktop Locate FindFile.bat--> doppelklick auf die bat-Datei , der Editor oeffnet sich-->poste den Text ------------------------------------------------------------------------ LSPfix.exe http://www.spychecker.com/program/lspfix.html <"I know what I'm doing" <--anhaken bringe die flsmngr.dll und xfire_lsp_8742.dll von links nach rechts (falls sie nicht schon dort sind) und loeschen (deleted) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - (no file) O2 - BHO: FlashEnhancer Extnder - {A749B4BC-7621-4a80-9220-D0A283367DD5} - c:\Program Files\Fln\fln.dll O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKCU\..\Run: [xojjwmr] c:\windows\chaemsf.exe O4 - HKCU\..\Run: [ilmolaq] c:\windows\chaemsf.exe O4 - HKCU\..\Run: [buaabyu] c:\windows\chaemsf.exe O9 - Extra button: Microsoft AntiSpyware helper - {D3F7557B-BAB5-4D34-A7C1-8B19E6606695} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D3F7557B-BAB5-4D34-A7C1-8B19E6606695} - (no file) (HKCU) O23 - Service: Groove Games Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) PC neustarten PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" c:\Program Files\Fln\fln.dll c:\windows\vociwkt.exe C:\windows\fyhmpqq.exe c:\windows\jnsdqxb.exe c:\windows\jbetjvc.exe c:\windows\ugjmpol.exe c:\windows\cpuqsdt.exe c:\windows\chaemsf.exe PC neustarten c:\Program Files\Fln <--loeschen CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp •AboutBuster (suche dann das Log vom Scann und poste es mir) www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten + das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Start<Run (Ausfuehren) < schreib rein: cmd
kopiere rein:
sc stop ZESOFT
klicke "enter"
und warte ein bisschen,
dann kopiere rein:
sc delete ZESOFT
klicke "enter"
kopiere rein:
del C:\WINDOWS\zeta.exe
Klicke "enter"
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "System Startup Service (SvcProc) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"System Startup Service (SvcProc) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe loeschen--> C:\WINDOWS\Nail.exe
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
Sollte man Probleme haben, die Einträge zu löschen,
Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
tippe unter Start/Ausfuehren folgendes ein--> oder reinkopieren:
C:\WINDOWS\Nail.exe /FullRemove
dann druecke "enter"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {CBFFE1FC-FDB2-4F03-A126-D6CC44C60F2B} - C:\WINDOWS\System32\jjbibb.dll (file missing)
O2 - BHO: (no name) - {F4C7A16F-4AD8-1D76-FA88-631331FC6696} - C:\WINDOWS\System32\ffivvqd.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\WINDOWS\cxtpls_loader.exe" /HideUninstall /HideDir /PC=CP.AMS /ShowLegalNote=nonbranded
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [AutoLoaderEnvoloAutoUpdater] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~compoundinst0\auto_update_loader.exe" /HideUninstall /HideDir /PC=CP.AMS /ShowLegalNote=nonbranded
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [oesaexq] c:\windows\system32\qdaalzs.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [rF6i3nh] htita.exe
O4 - HKCU\..\Run: [Asbp] C:\WINDOWS\System32\seee.exe
O4 - HKCU\..\Run: [Ugon] C:\WINDOWS\System32\?hkntfs.exe
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [aopsRhNpV] hnemp32.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3548
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe
reboot PC
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
c:\wp.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~compoundinst0\auto_update_loader.exe
C:\Programme\Security iGuard\Security iGuard.exe
C:\WINDOWS\System32\hnemp32.exe
C:\WINDOWS\System32\htita.exe
C:\WINDOWS\System32\?hkntfs.exe
C:\WINDOWS\System32\seee.exe
c:\windows\system32\qdaalzs.exe
C:\WINDOWS\ffisearch.exe/script.dat
C:\WINDOWS\isrvs\mfiltis.dll
C:\WINDOWS\isrvs\sysupd.dll
C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\isrvs\edmond.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
C:\PROGRA~1\GEMEIN~1\WinTools\WSup.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsS.exe
C:\WINDOWS\cxtpls_loader.exe
C:\Programme\CxtPls\cxtpls.dll
C:\Programme\CxtPls\CxtPls.exe
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
C:\WINDOWS\system32\dload.exe
C:\WINDOWS\system32\prvdi.exe
C:\WINDOWS\system32\prvdi1.exe
C:\WINDOWS\Bolger.dll
C:\WINDOWS\system32\prvdi.exe
C:\WINDOWS\svcproc.exe
C:\WINDOWS\Nail.exe
C:\WINDOWS\system32\ayxhlr.exe
C:\WINDOWS\system32\cbsngiv.exe
C:\127021.exe
C:\WINDOWS\system32\dload.exe
c:\windows\system32\ysjulkl.exe
C:\WINDOWS\System32\ffivvqd.dll
C:\WINDOWS\System32\jjbibb.dll
C:\WINDOWS\nem220.dll
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll
C:\WINDOWS\System32\exdl1.exe
C:\WINDOWS\System32\kalvcar32.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\trkgif.exe
C:\WINDOWS\bargains.exe
C:\WINDOWS\pconugl.exe
C:\WINDOWS\zeta.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\system32\netut80ex.vxd
C:\WINDOWS\system32\mac80ex.idf
C:\WINDOWS\system32\javex80.vxd
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp
C:\Dokumente und Einstellungen\ADMINISTRATOR\Lokale Einstellungen\Temp\<--alles loeschen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\bb.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\prvdi.exe <--loeschen
C:\Dokumente und Einstellungen\ADMINISTRATOR\Lokale Einstellungen\Temp\~compoundinst0
C:\Dokumente und Einstellungen\ADMINISTRATOR\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ <--leere alles (lasse nur die index.dat)
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NAQ03MF1\Nail[1].exe
C:\Dokumente und Einstellungen\Administrator\Anwendungen\zeta.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungen\WToolsA.exe
CWShredder
http://www.intermute.com/spysubtract/cwshredder_download.html
* Double-click on CWShredder.exe.
* Click "Fix ->" and click "OK" at the prompt.
* CWShredder will scan and clean your system of CWS files.
* Click "Next->" and then "Exit".
avast_4_home
http://www.avast.com/eng/avast_4_home.html
installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach
das Log vom Scann suchen und posten
aswclnr.log
DATA/report/aswboot.txt
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
•Gehe wieder in den Normalmodus:
•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
das neue Log vom HijackThis
__________
MfG Sabina
rund um die PC-Sicherheit