Altnet Programm - wie löschen? |
||
---|---|---|
#0
| ||
09.01.2005, 11:40
Member
Beiträge: 23 |
||
|
||
09.01.2005, 16:50
Ehrenmitglied
Beiträge: 29434 |
#2
HijackThis
http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Lade: FindIt.zip http://bilder.informationsarchiv.net/Nikitas_Tools/ Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] <DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.01.2005, 16:57
Member
Themenstarter Beiträge: 23 |
#3
Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing. ------- System Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E0ED-C37A Verzeichnis von C:\WINDOWS\System32 25.09.2003 19:28 32 {32B0BFB6-F0D6-4176-B4EA-411C14D0C210}.dat 25.09.2003 18:55 <DIR> Microsoft 25.09.2003 18:52 32 {16E9252D-E139-4ABD-9347-1AC2BB5430B8}.dat 25.09.2003 15:52 <DIR> dllcache 2 Datei(en) 64 Bytes 2 Verzeichnis(se), 7.029.645.312 Bytes frei ------- Hidden Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E0ED-C37A Verzeichnis von C:\WINDOWS\System32 25.09.2003 19:28 32 {32B0BFB6-F0D6-4176-B4EA-411C14D0C210}.dat 25.09.2003 18:52 32 {16E9252D-E139-4ABD-9347-1AC2BB5430B8}.dat 25.09.2003 16:09 488 logonui.exe.manifest 25.09.2003 16:09 488 WindowsLogon.manifest 25.09.2003 16:09 749 cdplayer.exe.manifest 25.09.2003 16:09 749 ncpa.cpl.manifest 25.09.2003 16:09 749 sapi.cpl.manifest 25.09.2003 16:09 749 wuaucpl.cpl.manifest 25.09.2003 16:09 749 nwc.cpl.manifest 25.09.2003 15:52 <DIR> dllcache 9 Datei(en) 4.785 Bytes 1 Verzeichnis(se), 7.029.637.120 Bytes frei ---------- Files Named "Guard" ------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E0ED-C37A Verzeichnis von C:\WINDOWS\System32 --------- Temp Files in System32 Directory -------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E0ED-C37A Verzeichnis von C:\WINDOWS\System32 23.08.2001 13:00 2.951 CONFIG.TMP 1 Datei(en) 2.951 Bytes 0 Verzeichnis(se), 7.029.620.736 Bytes frei ---------------- User Agent ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" ------------ Keys Under Notify ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ---------------- Xfind Results ----------------- Der Befehl "Xfind" ist entweder falsch geschrieben oder konnte nicht gefunden werden. -------------- Locate.com Results --------------- __________ Grüßl Ninna |
|
|
||
09.01.2005, 16:58
Member
Themenstarter Beiträge: 23 |
#4
Logfile of HijackThis v1.99.0
Scan saved at 16:58:35, on 09.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Ninna\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe __________ Grüßl Ninna |
|
|
||
09.01.2005, 17:31
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo@Ninna
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 (nach der Reinigung wieder aktivieren) #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera Start<Ausfuehren -->kopier ein: del C:\WINDOWS\Temp\Altnet danach: del c:\windows\temp --> mit Yes bestaetigen -------------------------------------------------------------------------- Suche und loesche: C:\WINDOWS\Temp\Altnet\Setup.exe C:\WINDOWS\Temp\Altnet\adm4.dll C:\WINDOWS\Temp\Altnet\adm25.dll C:\WINDOWS\Temp\Altnet\adm.exe C:\WINDOWS\Temp\Altnet\admprog.dll #eScan-Erkennungstool[/u] http://www.rokop-security.de/board/index.php?showtopic=3867 erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten -------------------------------------------------------------------------------------------- #Ad-aware SE Personal 1.05 Updated --> scannen, neustarten--> das Log posten http://fileforum.betanews.com/detail/965718306/1 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.01.2005 um 17:42 Uhr von Sabina editiert.
|
|
|
||
09.01.2005, 17:38
Member
Themenstarter Beiträge: 23 |
#6
fängt ja schon mal gut an:
ich kann das schon mal alles nicht finden...... #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" unter extras -> internetoptionen, oder wo muss ich da rein? __________ Grüßl Ninna |
|
|
||
09.01.2005, 17:40
Ehrenmitglied
Beiträge: 29434 |
#7
nein, keine Internetoptionen--> sondern-->Windows Explorer
__________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.01.2005 um 17:41 Uhr von Sabina editiert.
|
|
|
||
09.01.2005, 17:49
Member
Themenstarter Beiträge: 23 |
#8
das hab ich dort nicht stehen.......
unter extras hab ich nur: Mail und News Popupblocker Add-ons verwalten Synchronisieren Windows update Windows messenger ICQ ICQ lite Internetoptionen oder was meinst du mit windows explorer.....wo find ich den? __________ Grüßl Ninna |
|
|
||
09.01.2005, 17:51
Member
Beiträge: 669 |
#9
Du bist im Internet Explorer, Sabina meint den normalen Windows Explorer
Arbeitsplatz -> rechter Mausklick -> Explorer __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
09.01.2005, 17:57
Member
Themenstarter Beiträge: 23 |
||
|
||
13.02.2006, 21:31
...neu hier
Beiträge: 1 |
#11
Hallo,
das Thema ist zwar schon etwas älter.. Ich habe auch ein Problem mit infizierten Altnet-Dateien. Allerdings kommt, wenn ich die Anleitung befolge, bei Start<Ausfuehren -->kopier ein: del C:\WINDOWS\Temp\Altnet die Meldung, dass "del" nicht gefunden werde konnte ^^; |
|
|
||
13.02.2006, 23:35
Ehrenmitglied
Beiträge: 29434 |
#12
Beatrice.
stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hab mein logfile durch die automatische auswertung durchlaufen lassen und da wurden mir 2 sachen angezeigt (P2P und Altnet - Sachen), die ich unbedingt löschen sollte..........ich konnte sie aber auf meinem logfile gar nicht finden um sie zu fixen........
dann wollte ich das altnet-zeugs so rauslöschen......da wurde mir aber der zugriff verweigert und noch so ein blabla........was kann ich machen - bin jetzt kein PC profi.......
bitte um hilfe (in einer für pc-anti-profis verständlichen sprache .......;)...)
danke!
__________
Grüßl
Ninna