Wie werde ich CTFMON und CRSS dauerhaft los?

#0
11.02.2005, 23:22
Member

Beiträge: 1132
#16 Hallo sweetboy200,

zwei Tipps
A) es genügt nicht, einfach die exe-Dateien zu löschen. Die Registry-Einträge sind nach wie vor vorhanden, und die musst Du auch bereinigen. Weiterhin weißt Du nicht, was diese Malware auf Deinem Rechner schon angerichtet hat.

B) Du hast noch mehr Probleme als ctfmonss.exe und csrssw.exe auf Deinem System!

Poste also ein aktuelles HighjackThis-Log, damit einer der Boardies sich Deiner Probleme annehmen kann.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 11.02.2005 um 23:30 Uhr von Heron editiert.
Seitenanfang Seitenende
11.02.2005, 23:36
Member

Beiträge: 19
#17 okay also hier beim logfile



Logfile of HijackThis v1.99.0
Scan saved at 23:34:59, on 11.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190_und_0900 Warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\Iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Misiu&Gronio\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] REM Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] REM C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [saap] c:\windows\system32\saap.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c3 -w3
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] REM C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TorrentSearch] REM C:\Programme\TSx\TSx.exe minimized
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Services] Iexplore.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\RunServices: [Windows Services] Iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ares] REM "C:\Programme\Ares\Ares.exe" -h
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{552C6B0B-04EB-45AE-A60D-401CB86905E0}: NameServer = 205.188.146.145
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190_und_0900 Warner\w0svc.exe
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: cFosSpeed System Service - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)



was muss ich noch tun wie in der registry ??? wie funktioniert das denn das löschen darin?? und alles im abgesicherten modus machen???
Seitenanfang Seitenende
12.02.2005, 12:22
Member

Beiträge: 1132
#18 Hallo sweetboy200,

da ist ja ordentlich was drauf: Adware, Spyware und ein Backdoor-Trojaner. Eigentlich wäre es das Beste Du würdest das System neu aufsetzen.
Wenn Du aber versuchen willst, Dein System zu reinigen, dann mache folgendes (ohne Gewähr):

Lade folgende Programme herunter und update sie

AdAware
http://www.lavasoft.de/support/download/

Spybot S&D
http://www.safer-networking.org/de/download/index.html

Weiterhin herunterladen

KillBox
http://www.bleepingcomputer.com/files/killbox.php


Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Gehe in den abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten), scanne mit HighjackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch (W32/Agobot-BM)
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll (file missing)
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing)
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [saap] c:\windows\system32\saap.exe
O4 - HKLM\..\Run: [Windows Services] Iexplore.exe
O4 - HKLM\..\RunServices: [Windows Services] Iexplore.exe
O4 - HKCU\..\Run: [ares] REM "C:\Programme\Ares\Ares.exe" -h
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/InstallationsAssistent.ocx
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Rechner neu starten



Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten

C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
c:\windows\system32\saap.exe
C:\Programme\Ares\Ares.exe
c:\ied_s7.cab
c:\x.cab


Agobot Reinigungs Tool
http://www.sophos.de/support/disinfection/agobot.html
Mache einen online Scan mit dem Tool oder lade Dir den exe-File herunter und führe ihn lokal aus.

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D jeweils im abgesicherten und normalen Modus einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&A: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von http://www.majorgeeks.com/download4392.html beseitigen).
Virenwächter danach wieder aktivieren!

Lasse die Datei C:\WINDOWS\System32\Iexplore.exe einmal hier testen:
http://virusscan.jotti.dhs.org/
und poste das Ergebnis

Poste das Log von AdAware, Spybot S&D und ein aktuelles HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 12.02.2005 um 12:23 Uhr von Heron editiert.
Seitenanfang Seitenende
12.02.2005, 13:15
Member

Beiträge: 19
#19 Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware wo steht das da hab es nicht gefunden ??? bei adAware
Seitenanfang Seitenende
12.02.2005, 13:25
Member

Beiträge: 1132
#20 Am Ende des Scanns mit Ad-Aware den Button "Next" drücken, dann öffnet sich ein Fenster in dem die gefundenen Objekte angezeigt (Reiter: "Scan Summary") werden, und wo Du sie für die Entfernung markieren kannst. Nach dem Markieren wieder "Next" drücken!
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
12.02.2005, 14:29
Member

Beiträge: 19
#21 Hier meine Logfiles bei spybot wurde nichts gefunden gratulation es wurden keine einträge gefunden



hier das file von http://virusscan.jotti.dhs.org/

Service load: 0% 100%

File: Iexplore.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: YODA, PE_PATCH.ELKA, UPX

AntiVir No viruses found (0.76 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.79 seconds taken)
BitDefender No viruses found (0.86 seconds taken)
ClamAV No viruses found (0.40 seconds taken)
Dr.Web Win32.HLLW.MyBot (0.55 seconds taken)
F-Prot Antivirus No viruses found (0.38 seconds taken)
Fortinet No viruses found (0.44 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.85 seconds taken)
mks_vir Win32.4 (probable variant) (0.24 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.67 seconds taken)
Norman Virus Control Sandbox: W32/Backdoor; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 126534 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\Iexplore.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Windows Services"="Iexplore.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Windows Services"="Iexplore.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Windows Services"="Iexplore.exe" in key "HKCU\Software\Microsoft\OLE".

[ Network services ]
* Looks for an Internet connection.
* Connects to "1234567890.bounceme.net" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname NOR, 80340.
* IRC: Uses username htpserl.
* IRC: Joins channel ##ws## with password F***.
* IRC: Sets the usermode for user NOR, 80340 to +xi.

[ Process/window information ]
* Creates a mutex 77yhtr.
* Will automatically restart after boot (I'll be back...). (7.74 seconds taken)




Hier von AdAware Logfile:



Ad-Aware SE Build 1.05
Logfile Created on:Samstag, 12. Februar 2005 14:19:19
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R27 05.02.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):3 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


12.02.2005 14:19:19 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-1547161642-1482476501-725345543-1004\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-1547161642-1482476501-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1547161642-1482476501-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 812
ThreadCreationTime : 12.02.2005 12:46:33
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 864
ThreadCreationTime : 12.02.2005 12:46:34
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 888
ThreadCreationTime : 12.02.2005 12:46:35
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 932
ThreadCreationTime : 12.02.2005 12:46:36
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 944
ThreadCreationTime : 12.02.2005 12:46:36
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1124
ThreadCreationTime : 12.02.2005 12:46:36
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1208
ThreadCreationTime : 12.02.2005 12:46:36
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1340
ThreadCreationTime : 12.02.2005 12:46:37
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1372
ThreadCreationTime : 12.02.2005 12:46:37
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1588
ThreadCreationTime : 12.02.2005 12:46:38
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [w0svc.exe]
FilePath : C:\Programme\0190_und_0900 Warner\
ProcessID : 1672
ThreadCreationTime : 12.02.2005 12:46:38
BasePriority : Normal
FileVersion : 4.0.0.22
ProductVersion : 4.0
ProductName : 0190/0900 Warner
CompanyName : Mirko Böer
FileDescription : 0190/0900 Warner Service
InternalName : w0svc
LegalCopyright : Copyright © 2003-2004 Mirko Böer
OriginalFilename : w0svc.exe

#:12 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1688
ThreadCreationTime : 12.02.2005 12:46:38
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:13 [aolacsd.exe]
FilePath : C:\Programme\Gemeinsame Dateien\AOL\ACS\
ProcessID : 1700
ThreadCreationTime : 12.02.2005 12:46:38
BasePriority : Normal


#:14 [avkservice.exe]
FilePath : C:\Programme\Virenschutz\
ProcessID : 1720
ThreadCreationTime : 12.02.2005 12:46:38
BasePriority : Normal
FileVersion : 1, 0, 0, 3
ProductVersion : 11, 0, 0, 0
ProductName : AVKService Module
FileDescription : AVKService Module
InternalName : AVKService
LegalCopyright : Copyright G DATA Software AG 2001-2003
OriginalFilename : AVKService.EXE

#:15 [avkwctl.exe]
FilePath : C:\Programme\Virenschutz\
ProcessID : 1732
ThreadCreationTime : 12.02.2005 12:46:38
BasePriority : Normal
FileVersion : 16, 0, 0, 8
ProductVersion : 12, 0, 0, 0
ProductName : AVK
FileDescription : AVKWCtl Monitor Service
InternalName : AVKWCtl
OriginalFilename : AVKWCtl.EXE

#:16 [spd.exe]
FilePath : C:\Programme\cFosSpeed\
ProcessID : 1760
ThreadCreationTime : 12.02.2005 12:46:38
BasePriority : Normal
FileVersion : 1.09.929
ProductVersion : 1.09.929
ProductName : cFosSpeed Service
CompanyName : cFos Software GmbH
FileDescription : cFosSpeed Service
InternalName : spd
LegalCopyright : Copyright © Lueders/Winkler 2003-2005
OriginalFilename : spd.exe

#:17 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 852
ThreadCreationTime : 12.02.2005 12:46:40
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:18 [jusched.exe]
FilePath : C:\Programme\Java\j2re1.4.2_06\bin\
ProcessID : 1348
ThreadCreationTime : 12.02.2005 12:46:41
BasePriority : Normal


#:19 [aoldial.exe]
FilePath : C:\Programme\Gemeinsame Dateien\AOL\ACS\
ProcessID : 1456
ThreadCreationTime : 12.02.2005 12:46:41
BasePriority : Normal
FileVersion : 2.6.6.3.DE.55
ProductVersion : 2.6.6.3.DE.55
ProductName : AOL Connectivity Service
CompanyName : America Online, Inc
FileDescription : AOL Connectivity Service Dialer
LegalCopyright : Copyright © 2003 America Online, Inc.
OriginalFilename : AOLDial.exe

#:20 [atiptaxx.exe]
FilePath : C:\Programme\ATI Technologies\ATI Control Panel\
ProcessID : 1624
ThreadCreationTime : 12.02.2005 12:46:41
BasePriority : Normal
FileVersion : 6.14.10.5131
ProductVersion : 6.14.10.5131
ProductName : ATI Desktop Component
CompanyName : ATI Technologies, Inc.
FileDescription : ATI Desktop Control Panel
InternalName : Atiptaxx.exe
LegalCopyright : Copyright (C) 1998-2004 ATI Technologies Inc.
OriginalFilename : Atiptaxx.exe

#:21 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1820
ThreadCreationTime : 12.02.2005 12:46:42
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:22 [wmiprvse.exe]
FilePath : C:\WINDOWS\System32\wbem\
ProcessID : 520
ThreadCreationTime : 12.02.2005 12:46:45
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : WMI
InternalName : Wmiprvse.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : Wmiprvse.exe

#:23 [waol.exe]
FilePath : C:\Programme\AOL 9.0\
ProcessID : 788
ThreadCreationTime : 12.02.2005 12:47:06
BasePriority : Normal


#:24 [shellmon.exe]
FilePath : C:\Programme\AOL 9.0\
ProcessID : 380
ThreadCreationTime : 12.02.2005 12:47:06
BasePriority : Normal


#:25 [aoltpspd.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Aol\
ProcessID : 1412
ThreadCreationTime : 12.02.2005 12:47:06
BasePriority : Normal
FileVersion : 1, 1, 0, 0
ProductVersion : [v1.1-4] On Tue 03/16/2004 21:24:09.18
ProductName : AOL TopSpeed(TM)
CompanyName : America Online Inc
FileDescription : AOL TopSpeed(TM)
InternalName : AOL TopSpeed(TM)
LegalCopyright : Copyright © America Online 2003
LegalTrademarks : AOL TopSpeed(TM)
OriginalFilename : aoltpspd.exe

#:26 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 3372
ThreadCreationTime : 12.02.2005 12:47:39
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:27 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 3360
ThreadCreationTime : 12.02.2005 13:19:07
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 3




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 3

14:24:59 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:05:39.532
Objects scanned:126604
Objects identified:0
Objects ignored:0
New critical objects:0

So mal sehn obs jetz besser ist mein pc
Dieser Beitrag wurde am 12.02.2005 um 14:30 Uhr von sweetboy200 editiert.
Seitenanfang Seitenende
12.02.2005, 15:21
Member

Beiträge: 1132
#22 Das HJT Log fehlt noch!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
12.02.2005, 15:27
Member

Beiträge: 19
#23 Logfile of HijackThis v1.99.0
Scan saved at 15:27:04, on 12.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190_und_0900 Warner\w0svc.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\eMule.de\emule.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Misiu&Gronio\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] REM Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] REM C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c3 -w3
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] REM C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TorrentSearch] REM C:\Programme\TSx\TSx.exe minimized
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{552C6B0B-04EB-45AE-A60D-401CB86905E0}: NameServer = 205.188.146.145
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190_und_0900 Warner\w0svc.exe
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: cFosSpeed System Service - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
Seitenanfang Seitenende
12.02.2005, 15:49
Member

Beiträge: 1132
#24 Fixe noch mit HJT folgendes:

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing)
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe (wundert mich, dass das nicht von AdAware erkannt wird)

wenn Du die Sites in
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{552C6B0B-04EB-45AE-A60D-401CB86905E0}: NameServer = 205.188.146.145
nicht kennst => auch fixen

Lösche mit Killbox

C:\WINDOWS\System32\Iexplore.exe
C:\Program Files\Windows ServeAd\WinServAd.exe

Stinger
http://vil.nai.com/vil/stinger/
Programm öffnen und starten. Poste das Log.

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases (wichtig!) entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected". Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Neues HJT Log posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 12.02.2005 um 15:51 Uhr von Heron editiert.
Seitenanfang Seitenende
12.02.2005, 18:43
Member

Beiträge: 19
#25 Logfile Escan:


Sat Feb 12 17:03:23 2005 => File C:\WINDOWS\WTLBUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.
Sat Feb 12 17:03:40 2005 => File C:\WINDOWS\System32\CTFMONSS.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus. Action Taken: No Action Taken.Sat Feb 12 17:03:52 2005 => File C:\WINDOWS\System32\egdi32.exe infected by "Trojan-Downloader.Win32.Agent.fv" Virus. Action Taken: No Action Taken.File C:\WINDOWS\sms-stadt[sst-10925,1].exe infected by "not-a-virus:porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.File C:\WINDOWS\stoolbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.File C:\WINDOWS\WTLBUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action TakenC:\WINDOWS\System32\CSRSSW.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus. Action Taken: No Action Taken.Sat Feb 12 17:20:42 2005 => File C:\WINDOWS\System32\CTFMONSS.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus. Action Taken: No Action Taken.C:\WINDOWS\System32\egdi32.exe infected by "Trojan-Downloader.Win32.Agent.fv" Virus. Action Taken: No Action Taken.C:\WINDOWS\WTLBUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken



Stinger Logfile:

McAfee AVERT Stinger Version 2.4.9.2 built on Jan 31 2005

Copyright (C) 2005 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Jan 31 2005.

Ready to scan for 50 viruses, trojans and variants.



Scan initiated on Sat Feb 12 16:13:25 2005

Number of clean files: 161626


das ganze Logfile von exscan ist leider zo gross um es zu posten hier kann ich es per mail schicken??
Dieser Beitrag wurde am 12.02.2005 um 18:51 Uhr von sweetboy200 editiert.
Seitenanfang Seitenende
12.02.2005, 21:08
Member

Beiträge: 1132
#26 Nein! Nur die Zeilen in denen "infected" steht.
Am Ende des Logs steht die Zusammenfassung. Die auch posten!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 12.02.2005 um 21:12 Uhr von Heron editiert.
Seitenanfang Seitenende
12.02.2005, 21:13
Member

Beiträge: 19
#27 Sat Feb 12 18:12:47 2005 => ***** Scanning complete. *****

Sat Feb 12 18:12:47 2005 => Total Files Scanned: 64603
Sat Feb 12 18:12:47 2005 => Total Virus(es) Found: 19
Sat Feb 12 18:12:47 2005 => Total Disinfected Files: 0
Sat Feb 12 18:12:47 2005 => Total Files Renamed: 0
Sat Feb 12 18:12:47 2005 => Total Deleted Files: 0
Sat Feb 12 18:12:47 2005 => Total Errors: 41
Sat Feb 12 18:12:47 2005 => Time Elapsed: 00:53:36
Sat Feb 12 18:12:47 2005 => Virus Database Date: 2005/02/11
Sat Feb 12 18:12:47 2005 => Virus Database Count: 117901

Sat Feb 12 18:12:47 2005 => Scan Completed.



so das is das ende davon oben stehn die files mit virus dann
Seitenanfang Seitenende
12.02.2005, 21:21
Member

Beiträge: 1132
#28 Es sind 19 infizierte Dateien gefunden worden! Wo bleibt der Rest? Was Du gepostest hast ist nur ein Teil dessen was eScan gefunden hat!

Lösche mit der Killbox (wie oben beschrieben):

C:\WINDOWS\WTLBUI.exe
C:\WINDOWS\System32\egdi32.exe
C:\WINDOWS\sms-stadt[sst-10925,1].exe
C:\WINDOWS\stoolbd.dll
C:\WINDOWS\System32\CSRSSW.EXE
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\egdi32.exe

remv3.zip
http://forums.skads.org/index.php?showtopic=80
Herunterladen, in einen Extra Ordner packen, im abgesicherten Modus starten und die remv3.bat starten. Danach das von remv3 erzeugte log posten.

Aktuelles HJT Log posten!
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 12.02.2005 um 21:23 Uhr von Heron editiert.
Seitenanfang Seitenende
13.02.2005, 01:44
...neu hier

Beiträge: 4
#29 @ sweetboy200

setz dein System mit den aktuellen Patches komplett neu auf...installiere Adaware professional mit Adwatch, Zonealarm, Spybot-Search and destroy, Antivir, vergib eingeschränkte Benutzerrechte für den Internetbesuch, nimm als Browser Mozilla Firefox - und werd glücklich

oder arbeite mit Linux

aber macht dem Drama hier ein Ende....;-)

mfg
Night
Seitenanfang Seitenende
13.02.2005, 08:39
Member

Beiträge: 1132
#30 Drama? Wieso Drama?

Wenn Du es als Drama empfindest, wenn versucht wird, die Rechner von unerfahrenen Usern wieder flott zu machen, dann hast Du wohl den Sinn und Geist dieses Boards nicht ganz verinnerlicht.

Alle, die hier mitarbeiten und ihre Freizeit dafür opfern, könnten sich eine Menge Arbeit sparen, wenn jedesmal nach Deinem bewährten "Hau-Ruck-Verfahren" vorgegangen würde. Warum wohl ist das nicht so?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 13.02.2005 um 08:39 Uhr von Heron editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: