wie entfernt man w32.spybot.worm?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.03.2005, 10:49
Ehrenmitglied
Beiträge: 29434 |
||
|
||
11.03.2005, 11:16
Member
Beiträge: 14 |
#77
jo hi sabine !
hier der log vom hijackThis Logfile of HijackThis v1.99.1 Scan saved at 11:14:11, on 11.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Luzzi\Eigene Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagteamgirls.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {413A8D45-0CA2-BEA6-609E-21A4F9938CE2} - C:\WINDOWS\System32\pwrartfg.dll (file missing) O2 - BHO: (no name) - {5A871C7C-6692-6F99-FB7F-4C124FF332F7} - C:\WINDOWS\System32\eguyrxdm.dll (file missing) O2 - BHO: (no name) - {7B273193-3558-E4F0-CF2C-6571F05A2F64} - C:\WINDOWS\System32\zudzxmpg.dll (file missing) O2 - BHO: (no name) - {926F70D6-84C0-4A9C-2A42-83E4C96540BB} - C:\WINDOWS\System32\uzhtpqld.dll (file missing) O2 - BHO: (no name) - {94662941-9078-248E-FF61-FFF49A7F6388} - C:\WINDOWS\System32\wpbubnjq.dll (file missing) O2 - BHO: (no name) - {A55D4929-D118-7A1B-65A0-0157B6C5CAB6} - C:\WINDOWS\System32\ncjypzba.dll (file missing) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-ch\msntb.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {866CD2CC-5C58-448E-AEB1-6EE473717B1D} (Eyeball Chat Room Control) - http://de.bluewin.ch/services/chat/video_voice/EyeballSDK.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_5_0.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by16fd.bay16.hotmail.msn.com/activex/HMAtchmt.ocx O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://adult.popup.to/traffic/favorites.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe ich hab alles gemacht was du gesagt hast, hab alle viren die ich mit ad ware gefunden habe in quarantaine gesetzt, is das ok? |
|
|
||
11.03.2005, 11:33
Ehrenmitglied
Beiträge: 29434 |
#78
EVO VII
LSPfix.exe http://www.spychecker.com/program/lspfix.html <"I know what I'm doing <--anhaken bringe die winlspak.dll von der linken auf die rechte Seite und loesche sie. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) {4CA6CE4C-2199-4A4F-9542-12E0163D6841} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Fixe mit dem HijackThis: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagteamgirls.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {413A8D45-0CA2-BEA6-609E-21A4F9938CE2} - C:\WINDOWS\System32\pwrartfg.dll (file missing) O2 - BHO: (no name) - {5A871C7C-6692-6F99-FB7F-4C124FF332F7} - C:\WINDOWS\System32\eguyrxdm.dll (file missing) O2 - BHO: (no name) - {7B273193-3558-E4F0-CF2C-6571F05A2F64} - C:\WINDOWS\System32\zudzxmpg.dll (file missing) O2 - BHO: (no name) - {926F70D6-84C0-4A9C-2A42-83E4C96540BB} - C:\WINDOWS\System32\uzhtpqld.dll (file missing) O2 - BHO: (no name) - {94662941-9078-248E-FF61-FFF49A7F6388} - C:\WINDOWS\System32\wpbubnjq.dll (file missing) O2 - BHO: (no name) - {A55D4929-D118-7A1B-65A0-0157B6C5CAB6} - C:\WINDOWS\System32\ncjypzba.dll (file missing) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-ch\msntb.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {4CA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://66.230.151.114/d/CABDialer.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_5_0.cab O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://adult.popup.to/traffic/favorites.cab PC neustarten C:\WINDOWS\System32\pwrartfg.dll C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL C:\WINDOWS\System32\eguyrxdm.dll C:\WINDOWS\System32\zudzxmpg.dll C:\WINDOWS\System32\uzhtpqld.dll C:\WINDOWS\System32\wpbubnjq.dll C:\WINDOWS\System32\ncjypzba.dll C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-ch\msntb.dll PC neustarten •L2mfix--> poste bitte den Scann Laden Sie L2mfix von hier herunter: http://bilder.informationsarchiv.net/Nikitas_Tools/ http://www.atribune.org/downloads/l2mfix.exe * Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. * Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. * Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix * Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. * Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! * Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[]. * Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. * Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. * L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! * Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. * Dies stellt die Winlogon Standardeinstellungen wieder her. [b]Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten scanne noch mal mit escan und loesche alles, was noch "infected" ist. * Posten Sie einen aktuellen HijackThis Log erneut in Ihren Thread ein. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2005, 11:54
Ehrenmitglied
Beiträge: 29434 |
#79
Hallo@ Bibi 118
Beschreibung Es handelt sich um ein Server-Programm, welches den Zugriff auf ein betroffendes System ermöglicht. Girlfriend besteht aus dem Clienten GF.exe (Größe: 444 KB) und dem Server windll.exe. Die Windll.exe liegt in zwei Versionen mit verschiedenen Iconen vor. - Eine Version trägt das Icon eines Kombifaxgerätes (Größe: 302 KB), die Andere das Windows- Logo (Größe: 336 KB). Die Windll.exe ist der eigentlich Trojaner, der nach Doppelklick eine Kopie im Windows-Ordner anlegt. Dabei erfolgt eine Ein- tragung in die Registrierung unter folgendem Pfad: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ Windows\CurrentVersion\ Run\windll.exe Somit ist auch hier gewährleistet, dass dieses Programm bei jedem Systemstart mitgeladen wird und im Hintergrund mitläuft. - Das Programm zeichnet Passworteingaben bei der Einwahl in Online-Dienste auf, sowie ebensolche Eingaben auf Webseiten. Die Daten werden unter dem Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\General abgespeichert. Der Trojaner Windll.exe wird im Task unter verschiedenen, wechselnden Namen angezeigt, wie z.B. Winhelp, jedoch auch unter dem echten Namen. Besonderheiten Daten werden in Registrierung abgespeichert Entfernung Genannte Eintragungen in der Registrierung suchen und diese entfernen. Die Windll mit Task entfernen. Die Windll. im entsprechenden Ordner löschen. - Sicherheitshalber bitte mit Hilfe der Windows-Suchfunktion suchen. - So ist gewährleistet, dass eventuell noch andere Windll.´s gefunden werden, die durch das Programm in anderen Verzeichnissen angelegt wurden, ebenfalls entfernt werden. ___________________________________________________________________ Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "WinDLL DLL Loader (WinDLL) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "WinDLL DLL Loader (WinDLL) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "WinDLL DLL Loader (WinDLL) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O4 - HKLM\..\Run: [Windows FormatAd] C:\Program Files\Windows FormatAd\WinForm.exe O23 - Service: WinDLL DLL Loader (WinDLL) - Unknown owner - C:\Server\windll.exe (file missing) PC neustarten Gehe in die Registry Start<Ausfuehren<regedit Bearbeiten--> suchen-->WinDLL DLL Loader + WinDLL + windll.exe (diese Daten in die Suchfunktion kopieren) loesche alles, was du findest, wenn du was nicht geloescht bekommst, dann schreibe mir. Loesche: <C:\Server\windll.exe <GF.exe <C:\Program Files\Windows FormatAd <--loeschen PC neustarten dann berichte und poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2005, 12:22
...neu hier
Beiträge: 4 |
#80
was hab ich zu tun, ich bedanke mich schonmal für die hilfe
Logfile of HijackThis v1.99.1 Scan saved at 18:51:30, on 10.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Physalis\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?mszoe (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4B2C0F1B-9B30-2FC4-A487-1C59255C24ED} - C:\WINDOWS\mfcba32.dll O2 - BHO: (no name) - {683E615B-169A-80CF-3487-660FBFB04194} - C:\WINDOWS\mfcba32.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Winsock2 driver] RUNDLL32.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [sdkwa.exe] C:\WINDOWS\system32\sdkwa.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender8\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [javagz32.exe] C:\WINDOWS\system32\javagz32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {7EDCB906-63FE-498D-A163-3E2C7B69676D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {7EDCB906-63FE-498D-A163-3E2C7B69676D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//uncle/main.chm::/load.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9f61b12a60c07eebdb4 fc97ec168da8e90daa2eebae9c7525e5f878a37b676f935fd98ead5cd86ed7cb267a3cbe236b4146bf88f:adfe7cdda14abbf71198a73bd5be0348 O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/ccb59cc9/enter.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/072c5cf22346a0712a14/netzip/RdxIE601_de.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?325 O17 - HKLM\System\CCS\Services\Tcpip\..\{9ADB9F98-F1A6-40FC-8EE4-E10ED0B406A2}: NameServer = 213.191.92.87 213.191.74.18 O19 - User stylesheet: C:\WINDOWS\Web\tips.ini (file missing) O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\HanseNet-Produkte\app\TangoService.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe O23 - Service: Network Security Service (NSS) ( 6QÔõ 'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\javaij32.exe (file missing) mfg mit feuchtem gruß Phy |
|
|
||
11.03.2005, 12:27
Ehrenmitglied
Beiträge: 29434 |
#81
Hallo@Physalis
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann wieder aktivieren Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Network Security Service (NSS) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Network Security Service (NSS) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Meldung (Symantec)-- warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: 6QÔõ 'ª´ÆÐ8 Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das machst du auch mit: {10003000-1000-0000-1000-000000000000} {6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0} {7EDCB906-63FE-498D-A163-3E2C7B69676D} {00000000-0000-0000-0000-000020030000} {00000000-7777-0704-0B53-2C8830E9FAEC} {10000000-1000-0000-1000-000000000000} {10003000-1000-0000-1000-000000000000} {386A771C-E96A-421F-8BA7-32F1B706892F} {22A88341-AFCB-45F0-A856-C2BAE74F878E} {9E98E84C-79E1-49C3-82EB-798FCD552EFB} #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?mszoe (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\zsscf.dll/sp.html#44768 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?mszoe (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {4B2C0F1B-9B30-2FC4-A487-1C59255C24ED} - C:\WINDOWS\mfcba32.dll O2 - BHO: (no name) - {683E615B-169A-80CF-3487-660FBFB04194} - C:\WINDOWS\mfcba32.dll O4 - HKLM\..\Run: [Winsock2 driver] RUNDLL32.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [sdkwa.exe] C:\WINDOWS\system32\sdkwa.exe O4 - HKLM\..\Run: [javagz32.exe] C:\WINDOWS\system32\javagz32.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {7EDCB906-63FE-498D-A163-3E2C7B69676D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {7EDCB906-63FE-498D-A163-3E2C7B69676D} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//uncle/main.chm::/load.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9f61b12a60c07eebdb4fc97ec168da8e 90daa2eebae9c7525e5f878a37b676f935fd98ead5cd86ed7cb267a3cbe236b4146bf88f:adfe7 cdda14abbf71198a73bd5be0348 O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/ccb59cc9/enter.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/072c5cf22346a0712a14/netzip/RdxIE601_de.cab O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB O19 - User stylesheet: C:\WINDOWS\Web\tips.ini (file missing) O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) O23 - Service: Network Security Service (NSS) ( 6QÔõ 'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\javaij32.exe (file missing) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\hh.htt C:\WINDOWS\Downloaded Program Files\ISTactivex.dll c:\windows\downlaoded program files\loader2.ocx C:\WINDOWS\Downloaded Program Files\internazionale_ver4.ocx C:\WINDOWS\mfcba32.dll C:\WINDOWS\zsscf.dll C:\WINDOWS\mfcba32.dll C:\WINDOWS\system32\javagz32.exe C:\WINDOWS\ScMx32.exe C:\WINDOWS\Web\tips.ini C:\WINDOWS\system32\sdkwa.exe C:\Programme\xp-AntiSpy\sponsoring\sponsor.html PC neustarten C:\WINDOWS\Downloaded Program Files\ <--alles loeschen !!!!!!!!!! leere den Ordner:Content.IE5 (lasse nur die index.dat--> alles andere loeschen !!!! C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\........\ -->zum Beispiel:loader2[1].ocx Leere diese Orner (nicht die Ordner selbst loeschen) C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open •AboutBuster www.malwarebytes.biz/AboutBuster.zip http://www.spychecker.com/program/aboutbuster.html Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> dann alles loeschen, was "infected ist" •/Ad-aware Standard Edition (free) http://www.lavasoftusa.com/german/software/adaware/ http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! #Stinger http://vil.nai.com/vil/stinger/ #<Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #BitDefender Scan www.bitdefender.com/scan/Msie/index.php •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2005, 12:45
Ehrenmitglied
Beiträge: 29434 |
#82
Hallo@nofear82
Im Log ist nichts vom Backdoor zu sehen: •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier poste __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2005, 13:04
...neu hier
Beiträge: 4 |
#83
•Download Registry Search Tool :
-no instances of "6QÔõ 'ª´ÆÐ8" found. ; Registry search results for string "{10003000-1000-0000-1000-000000000000}" 11.03.2005 12:51:02 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}\InstalledVersion] ; Registry search results for string "{6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0}" 11.03.2005 12:53:14 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-776561741-1960408961-725345543-1004\Software\Microsoft\Internet Explorer\Extensions\CmdMapping] "{6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0}"=dword:00002003 [HKEY_USERS\S-1-5-21-776561741-1960408961-725345543-1004\Software\Microsoft\Internet Explorer\Extensions\{6E0D8A62-E6CF-4D29-BF04-6537E3BA1DF0}] ; Registry search results for string "{7EDCB906-63FE-498D-A163-3E2C7B69676D}" 11.03.2005 12:54:58 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xp-AntiSpy] "UsedGUID"="{7EDCB906-63FE-498D-A163-3E2C7B69676D}" [HKEY_USERS\S-1-5-21-776561741-1960408961-725345543-1004\Software\Microsoft\Internet Explorer\Extensions\CmdMapping] "{7EDCB906-63FE-498D-A163-3E2C7B69676D}"=dword:00002007 [HKEY_USERS\S-1-5-21-776561741-1960408961-725345543-1004\Software\Microsoft\Internet Explorer\Extensions\{7EDCB906-63FE-498D-A163-3E2C7B69676D}] ; Registry search results for string "{00000000-0000-0000-0000-000020030000}" 11.03.2005 12:57:09 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-0000-0000-0000-000020030000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-0000-0000-0000-000020030000}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-0000-0000-0000-000020030000}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-0000-0000-0000-000020030000}\InstalledVersion] ; Registry search results for string "{00000000-7777-0704-0B53-2C8830E9FAEC}" 11.03.2005 12:58:27 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-7777-0704-0B53-2C8830E9FAEC}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-7777-0704-0B53-2C8830E9FAEC}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-7777-0704-0B53-2C8830E9FAEC}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-7777-0704-0B53-2C8830E9FAEC}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-7777-0704-0B53-2C8830E9FAEC}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-7777-0704-0B53-2C8830E9FAEC}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000000-7777-0704-0B53-2C8830E9FAEC}\InstalledVersion] ; Registry search results for string "{10000000-1000-0000-1000-000000000000}" 11.03.2005 12:59:39 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10000000-1000-0000-1000-000000000000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10000000-1000-0000-1000-000000000000}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10000000-1000-0000-1000-000000000000}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10000000-1000-0000-1000-000000000000}\InstalledVersion] ; Registry search results for string "{10003000-1000-0000-1000-000000000000}" 11.03.2005 13:00:33 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{10003000-1000-0000-1000-000000000000}\InstalledVersion] ; Registry search results for string "{386A771C-E96A-421F-8BA7-32F1B706892F}" 11.03.2005 13:01:27 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\InstalledVersion] ; Registry search results for string "{22A88341-AFCB-45F0-A856-C2BAE74F878E}" 11.03.2005 13:02:18 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ActiveX.InstallX\CLSID] @="{22A88341-AFCB-45F0-A856-C2BAE74F878E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ActiveX.InstallX.1\CLSID] @="{22A88341-AFCB-45F0-A856-C2BAE74F878E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\Control] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\MiscStatus\1] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{22A88341-AFCB-45F0-A856-C2BAE74F878E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{22A88341-AFCB-45F0-A856-C2BAE74F878E}\InstalledVersion] ; Registry search results for string "{9E98E84C-79E1-49C3-82EB-798FCD552EFB}" 11.03.2005 13:03:11 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Control] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Implemented Categories] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Implemented Categories\{0DE86A52-2BAA-11CF-A229-00AA003D7352}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Implemented Categories\{0DE86A53-2BAA-11CF-A229-00AA003D7352}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Implemented Categories\{0DE86A57-2BAA-11CF-A229-00AA003D7352}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Implemented Categories\{40FC6ED4-2438-11CF-A3DB-080036F12502}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\MiscStatus\1] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\VERSION] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VacPro.internazionale_ver4\Clsid] @="{9E98E84C-79E1-49C3-82EB-798FCD552EFB}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{9E98E84C-79E1-49C3-82EB-798FCD552EFB}\InstalledVersion] Phy |
|
|
||
11.03.2005, 14:11
Ehrenmitglied
Beiträge: 29434 |
#84
Hallo@Physalis
bevor du alles andere abarbeitest, gehe in die Registry Start<Ausfuehren<regedit loesche, was fett angezeigt ist: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 6QÔõ'ª´ÆÐ8] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 6QÔõ'ª´ÆÐ8\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8\Enum] __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2005, 14:42
...neu hier
Beiträge: 4 |
#85
ging nich
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" fehler beim löschen des schlüssels tritt auf! |
|
|
||
11.03.2005, 14:47
Ehrenmitglied
Beiträge: 29434 |
#86
Hallo@Physalis
im abgesicherten Modus Start-->Ausfuehren-->regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY... An jeder Speicherstelle, löschen Sie die hervorgehobenen LEGACY Löschen Sie KEINE anderen Einträge. Sollten Sie Probleme haben, die Einträge zu löschen, [Rechtsklick] auf den Schlüssel und wählen Sie Eigenschaften. Klicken Sie auf Inbesitznahme (finde den Schlüssel nicht bei mir, kann daher nicht sehen welche genaue Bezeichnung zur Verfügung steht Sad ). Klicken Sie dann auf Berechtigung und klicken Sie dann auf Vollzugriff.Klicken Sie auf [Übernehemen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuchen Sie diesen zu löschen. machen Sie einen Neustart um in den Normalen Modus zu gelangen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.03.2005, 17:28
...neu hier
Beiträge: 9 |
#87
hallo Sabina
vielen dank für deine hilfe. nach einigem suchen bin ich auch fündig geworden. ich hoffe ich hab alles erwischt!!! hier nochmal mein neues log. Logfile of HijackThis v1.99.1 Scan saved at 17:22:55, on 12.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe E:\Filme nicht gebrannt\Meine empfangenen Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O15 - Trusted Zone: www.seb.de O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{17B5DBA1-4104-4EA7-BA9F-FF53A1ED978D}: NameServer = 217.237.150.225 217.237.150.141 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: WinDLL DLL Loader (WinDLL) - Unknown owner - C:\Server\windll.exe (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe wobei hier der windll wieder auftaucht. dabei finde ich über die suche nix mehr auch nicht im abgesicherten modus. ich wünsch ir sehr das ich jetzt clean bin. aber die cd für Format:C liegt hier schon. ein schönes Wochenende und liebe grüße bibi |
|
|
||
12.03.2005, 17:32
Ehrenmitglied
Beiträge: 29434 |
#88
Hallo@Bibi 118
1.) Fixen, mit dem HijackThis: O23 - Service: WinDLL DLL Loader (WinDLL) - Unknown owner - C:\Server\windll.exe (file missing) 2.) neustarten 3.) den Dienst "WinDLL DLL Loader (WinDLL)" deaktivieren(wie ich schon erklaert hatte) 4.) dann in der Registry alles loeschen mit. WinDLL DLL Loader (WinDLL) unter diesen Schluesseln: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY... 5.) C:\Server\<---loeschen (im abgesicherten Modus) 6.) neustarten 7.) Online Viren-scanns machen !!!! 8.) das neue Log vom HijackThis posten ______________________________________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.03.2005, 22:41
...neu hier
Beiträge: 9 |
#89
Scan saved at 22:38:01, on 12.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Dokumente und Einstellungen\Bibi\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O15 - Trusted Zone: www.seb.de O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{17B5DBA1-4104-4EA7-BA9F-FF53A1ED978D}: NameServer = 217.237.150.225 217.237.150.141 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe hallo sabina das ist jetzt mein letzter log. ich hab mein ebstes gegeben. aber in 2 sachen ließ das teil sich einfach nicht löschen. deaktiviert hab ich es aber.im current controll set und im controll set 002 ist der aber noch. macht mich ganz nervös ;-). ich danke dir erstmal recht herzlich für deine mühe und bin schon von diesem forum am schwärmen! tolle und schnelle hilfe. werde euch weiterempfehlen. liebe grüße bibi |
|
|
||
13.03.2005, 10:05
Ehrenmitglied
Beiträge: 29434 |
#90
Hallo@Bibi 118
im abgesicherten Modus Start-->Ausfuehren-->regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY... HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY... An jeder Speicherstelle, löschen Sie die hervorgehobenen LEGACY Löschen Sie KEINE anderen Einträge. Sollten Sie Probleme haben, die Einträge zu löschen, [Rechtsklick] auf den Schlüssel und wählen Sie Eigenschaften. Klicken Sie auf Inbesitznahme (finde den Schlüssel nicht bei mir, kann daher nicht sehen welche genaue Bezeichnung zur Verfügung steht Sad ). Klicken Sie dann auf Berechtigung und klicken Sie dann auf Vollzugriff.Klicken Sie auf [Übernehemen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuchen Sie diesen zu löschen. machen Sie einen Neustart __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\System32\2b3fsk0h.dll
C:\WINDOWS\System32\bln02nqv.exe
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170514-123.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170514-352.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170514-375.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170516-424.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\DrTemp\speer_v12.exe
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\THI4CE9.tmp\speer.dll
C:\Program Files\Media Pass\MediaPassK.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\Gemeinsame Dateien\WinTools\WToolsS.exe
C:\Programme\Norton AntiVirus\Quarantine\01FD6EE2.pif
C:\Programme\Norton AntiVirus\Quarantine\020118DE.exe
C:\Programme\Toolbar\IExploreSkins.exe
C:\Programme\Toolbar\PIB.exe
C:\Programme\Toolbar\TBPS.exe
C:\Programme\Toolbar\TBPSSvc.exe
C:\WINDOWS\Downloaded Program Files\Install.dll
C:\WINDOWS\Downloaded Program Files\internazionale_ver4.ocx
C:\Temp\salmhook.dll
C:\WINDOWS\Messenger2.exe
C:\WINDOWS\orsvaz.exe
C:\WINDOWS\speer.dll
C:\WINDOWS\70tovmto.exe
PC neustarten
scanne noch mal mit escan--> dann alles loeschen, was noch "infected" ist.
#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
Start<Ausfuehren--> schreib rein: %temp%
ueberpruefe, ob das geloescht ist:
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170514-123.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170514-352.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170514-375.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\backups\backup-20050310-170516-424.dll
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\DrTemp\speer_v12.exe
C:\Dokumente und Einstellungen\Eleonore Skarlakidis\Lokale Einstellungen\Temp\THI4CE9.tmp\speer.dll
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
dann poste das neue Log vom HijackThis
__________
MfG Sabina
rund um die PC-Sicherheit