Wie werde ich CTFMON und CRSS dauerhaft los? |
||
---|---|---|
#0
| ||
11.02.2005, 23:22
Member
Beiträge: 1132 |
||
|
||
11.02.2005, 23:36
Member
Beiträge: 19 |
#17
okay also hier beim logfile
Logfile of HijackThis v1.99.0 Scan saved at 23:34:59, on 11.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190_und_0900 Warner\w0svc.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\Programme\cFosSpeed\spd.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\Iexplore.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Misiu&Gronio\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [C-Media Mixer] REM Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] REM C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [saap] c:\windows\system32\saap.exe O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c3 -w3 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] REM C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [TorrentSearch] REM C:\Programme\TSx\TSx.exe minimized O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Windows Services] Iexplore.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\RunServices: [Windows Services] Iexplore.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ares] REM "C:\Programme\Ares\Ares.exe" -h O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{552C6B0B-04EB-45AE-A60D-401CB86905E0}: NameServer = 205.188.146.145 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190_und_0900 Warner\w0svc.exe O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: cFosSpeed System Service - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) was muss ich noch tun wie in der registry ??? wie funktioniert das denn das löschen darin?? und alles im abgesicherten modus machen??? |
|
|
||
12.02.2005, 12:22
Member
Beiträge: 1132 |
#18
Hallo sweetboy200,
da ist ja ordentlich was drauf: Adware, Spyware und ein Backdoor-Trojaner. Eigentlich wäre es das Beste Du würdest das System neu aufsetzen. Wenn Du aber versuchen willst, Dein System zu reinigen, dann mache folgendes (ohne Gewähr): Lade folgende Programme herunter und update sie AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html Weiterhin herunterladen KillBox http://www.bleepingcomputer.com/files/killbox.php Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Gehe in den abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten), scanne mit HighjackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch (W32/Agobot-BM) O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll (file missing) O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing) O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [saap] c:\windows\system32\saap.exe O4 - HKLM\..\Run: [Windows Services] Iexplore.exe O4 - HKLM\..\RunServices: [Windows Services] Iexplore.exe O4 - HKCU\..\Run: [ares] REM "C:\Programme\Ares\Ares.exe" -h O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/InstallationsAssistent.ocx O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) Rechner neu starten Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll c:\windows\system32\saap.exe C:\Programme\Ares\Ares.exe c:\ied_s7.cab c:\x.cab Agobot Reinigungs Tool http://www.sophos.de/support/disinfection/agobot.html Mache einen online Scan mit dem Tool oder lade Dir den exe-File herunter und führe ihn lokal aus. Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D jeweils im abgesicherten und normalen Modus einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&A: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von http://www.majorgeeks.com/download4392.html beseitigen). Virenwächter danach wieder aktivieren! Lasse die Datei C:\WINDOWS\System32\Iexplore.exe einmal hier testen: http://virusscan.jotti.dhs.org/ und poste das Ergebnis Poste das Log von AdAware, Spybot S&D und ein aktuelles HJT Log Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 12.02.2005 um 12:23 Uhr von Heron editiert.
|
|
|
||
12.02.2005, 13:15
Member
Beiträge: 19 |
#19
Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware wo steht das da hab es nicht gefunden ??? bei adAware
|
|
|
||
12.02.2005, 13:25
Member
Beiträge: 1132 |
#20
Am Ende des Scanns mit Ad-Aware den Button "Next" drücken, dann öffnet sich ein Fenster in dem die gefundenen Objekte angezeigt (Reiter: "Scan Summary") werden, und wo Du sie für die Entfernung markieren kannst. Nach dem Markieren wieder "Next" drücken!
__________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
12.02.2005, 14:29
Member
Beiträge: 19 |
#21
Hier meine Logfiles bei spybot wurde nichts gefunden gratulation es wurden keine einträge gefunden
hier das file von http://virusscan.jotti.dhs.org/ Service load: 0% 100% File: Iexplore.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: YODA, PE_PATCH.ELKA, UPX AntiVir No viruses found (0.76 seconds taken) Avast No viruses found (1.51 seconds taken) AVG Antivirus No viruses found (0.79 seconds taken) BitDefender No viruses found (0.86 seconds taken) ClamAV No viruses found (0.40 seconds taken) Dr.Web Win32.HLLW.MyBot (0.55 seconds taken) F-Prot Antivirus No viruses found (0.38 seconds taken) Fortinet No viruses found (0.44 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.85 seconds taken) mks_vir Win32.4 (probable variant) (0.24 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.67 seconds taken) Norman Virus Control Sandbox: W32/Backdoor; [ General information ] * **Locates window "NULL [class mIRC]" on desktop. * File length: 126534 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\Iexplore.exe. * Deletes file 1. [ Changes to registry ] * Creates value "Windows Services"="Iexplore.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * Creates value "Windows Services"="Iexplore.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". * Creates key "HKCU\Software\Microsoft\OLE". * Sets value "Windows Services"="Iexplore.exe" in key "HKCU\Software\Microsoft\OLE". [ Network services ] * Looks for an Internet connection. * Connects to "1234567890.bounceme.net" on port 6667 (TCP). * Connects to IRC server. * IRC: Uses nickname NOR, 80340. * IRC: Uses username htpserl. * IRC: Joins channel ##ws## with password F***. * IRC: Sets the usermode for user NOR, 80340 to +xi. [ Process/window information ] * Creates a mutex 77yhtr. * Will automatically restart after boot (I'll be back...). (7.74 seconds taken) Hier von AdAware Logfile: Ad-Aware SE Build 1.05 Logfile Created on:Samstag, 12. Februar 2005 14:19:19 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R27 05.02.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):3 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 12.02.2005 14:19:19 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : S-1-5-21-1547161642-1482476501-725345543-1004\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-1547161642-1482476501-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-1547161642-1482476501-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 812 ThreadCreationTime : 12.02.2005 12:46:33 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 864 ThreadCreationTime : 12.02.2005 12:46:34 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 888 ThreadCreationTime : 12.02.2005 12:46:35 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 932 ThreadCreationTime : 12.02.2005 12:46:36 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 944 ThreadCreationTime : 12.02.2005 12:46:36 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1124 ThreadCreationTime : 12.02.2005 12:46:36 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1208 ThreadCreationTime : 12.02.2005 12:46:36 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1340 ThreadCreationTime : 12.02.2005 12:46:37 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1372 ThreadCreationTime : 12.02.2005 12:46:37 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1588 ThreadCreationTime : 12.02.2005 12:46:38 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:11 [w0svc.exe] FilePath : C:\Programme\0190_und_0900 Warner\ ProcessID : 1672 ThreadCreationTime : 12.02.2005 12:46:38 BasePriority : Normal FileVersion : 4.0.0.22 ProductVersion : 4.0 ProductName : 0190/0900 Warner CompanyName : Mirko Böer FileDescription : 0190/0900 Warner Service InternalName : w0svc LegalCopyright : Copyright © 2003-2004 Mirko Böer OriginalFilename : w0svc.exe #:12 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1688 ThreadCreationTime : 12.02.2005 12:46:38 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:13 [aolacsd.exe] FilePath : C:\Programme\Gemeinsame Dateien\AOL\ACS\ ProcessID : 1700 ThreadCreationTime : 12.02.2005 12:46:38 BasePriority : Normal #:14 [avkservice.exe] FilePath : C:\Programme\Virenschutz\ ProcessID : 1720 ThreadCreationTime : 12.02.2005 12:46:38 BasePriority : Normal FileVersion : 1, 0, 0, 3 ProductVersion : 11, 0, 0, 0 ProductName : AVKService Module FileDescription : AVKService Module InternalName : AVKService LegalCopyright : Copyright G DATA Software AG 2001-2003 OriginalFilename : AVKService.EXE #:15 [avkwctl.exe] FilePath : C:\Programme\Virenschutz\ ProcessID : 1732 ThreadCreationTime : 12.02.2005 12:46:38 BasePriority : Normal FileVersion : 16, 0, 0, 8 ProductVersion : 12, 0, 0, 0 ProductName : AVK FileDescription : AVKWCtl Monitor Service InternalName : AVKWCtl OriginalFilename : AVKWCtl.EXE #:16 [spd.exe] FilePath : C:\Programme\cFosSpeed\ ProcessID : 1760 ThreadCreationTime : 12.02.2005 12:46:38 BasePriority : Normal FileVersion : 1.09.929 ProductVersion : 1.09.929 ProductName : cFosSpeed Service CompanyName : cFos Software GmbH FileDescription : cFosSpeed Service InternalName : spd LegalCopyright : Copyright © Lueders/Winkler 2003-2005 OriginalFilename : spd.exe #:17 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 852 ThreadCreationTime : 12.02.2005 12:46:40 BasePriority : Normal FileVersion : 6.00.2800.1106 (xpsp1.020828-1920) ProductVersion : 6.00.2800.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:18 [jusched.exe] FilePath : C:\Programme\Java\j2re1.4.2_06\bin\ ProcessID : 1348 ThreadCreationTime : 12.02.2005 12:46:41 BasePriority : Normal #:19 [aoldial.exe] FilePath : C:\Programme\Gemeinsame Dateien\AOL\ACS\ ProcessID : 1456 ThreadCreationTime : 12.02.2005 12:46:41 BasePriority : Normal FileVersion : 2.6.6.3.DE.55 ProductVersion : 2.6.6.3.DE.55 ProductName : AOL Connectivity Service CompanyName : America Online, Inc FileDescription : AOL Connectivity Service Dialer LegalCopyright : Copyright © 2003 America Online, Inc. OriginalFilename : AOLDial.exe #:20 [atiptaxx.exe] FilePath : C:\Programme\ATI Technologies\ATI Control Panel\ ProcessID : 1624 ThreadCreationTime : 12.02.2005 12:46:41 BasePriority : Normal FileVersion : 6.14.10.5131 ProductVersion : 6.14.10.5131 ProductName : ATI Desktop Component CompanyName : ATI Technologies, Inc. FileDescription : ATI Desktop Control Panel InternalName : Atiptaxx.exe LegalCopyright : Copyright (C) 1998-2004 ATI Technologies Inc. OriginalFilename : Atiptaxx.exe #:21 [ctfmon.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1820 ThreadCreationTime : 12.02.2005 12:46:42 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:22 [wmiprvse.exe] FilePath : C:\WINDOWS\System32\wbem\ ProcessID : 520 ThreadCreationTime : 12.02.2005 12:46:45 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : WMI InternalName : Wmiprvse.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : Wmiprvse.exe #:23 [waol.exe] FilePath : C:\Programme\AOL 9.0\ ProcessID : 788 ThreadCreationTime : 12.02.2005 12:47:06 BasePriority : Normal #:24 [shellmon.exe] FilePath : C:\Programme\AOL 9.0\ ProcessID : 380 ThreadCreationTime : 12.02.2005 12:47:06 BasePriority : Normal #:25 [aoltpspd.exe] FilePath : C:\Programme\Gemeinsame Dateien\Aol\ ProcessID : 1412 ThreadCreationTime : 12.02.2005 12:47:06 BasePriority : Normal FileVersion : 1, 1, 0, 0 ProductVersion : [v1.1-4] On Tue 03/16/2004 21:24:09.18 ProductName : AOL TopSpeed(TM) CompanyName : America Online Inc FileDescription : AOL TopSpeed(TM) InternalName : AOL TopSpeed(TM) LegalCopyright : Copyright © America Online 2003 LegalTrademarks : AOL TopSpeed(TM) OriginalFilename : aoltpspd.exe #:26 [wuauclt.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 3372 ThreadCreationTime : 12.02.2005 12:47:39 BasePriority : Normal FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04) ProductVersion : 5.4.3790.2182 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Automatische Updates InternalName : wuauclt.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : wuauclt.exe #:27 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 3360 ThreadCreationTime : 12.02.2005 13:19:07 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 3 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 14:24:59 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:05:39.532 Objects scanned:126604 Objects identified:0 Objects ignored:0 New critical objects:0 So mal sehn obs jetz besser ist mein pc Dieser Beitrag wurde am 12.02.2005 um 14:30 Uhr von sweetboy200 editiert.
|
|
|
||
12.02.2005, 15:21
Member
Beiträge: 1132 |
#22
Das HJT Log fehlt noch!
Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
12.02.2005, 15:27
Member
Beiträge: 19 |
#23
Logfile of HijackThis v1.99.0
Scan saved at 15:27:04, on 12.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190_und_0900 Warner\w0svc.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\Programme\cFosSpeed\spd.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\eMule.de\emule.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe C:\Dokumente und Einstellungen\Misiu&Gronio\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [C-Media Mixer] REM Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] REM C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c3 -w3 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] REM C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [TorrentSearch] REM C:\Programme\TSx\TSx.exe minimized O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] REM "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{552C6B0B-04EB-45AE-A60D-401CB86905E0}: NameServer = 205.188.146.145 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190_und_0900 Warner\w0svc.exe O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: cFosSpeed System Service - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe |
|
|
||
12.02.2005, 15:49
Member
Beiträge: 1132 |
#24
Fixe noch mit HJT folgendes:
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll (file missing) O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe (wundert mich, dass das nicht von AdAware erkannt wird) wenn Du die Sites in O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{552C6B0B-04EB-45AE-A60D-401CB86905E0}: NameServer = 205.188.146.145 nicht kennst => auch fixen Lösche mit Killbox C:\WINDOWS\System32\Iexplore.exe C:\Program Files\Windows ServeAd\WinServAd.exe Stinger http://vil.nai.com/vil/stinger/ Programm öffnen und starten. Poste das Log. eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp erstelle einen Ordner c:\bases das Programm in den Ordner c:\bases (wichtig!) entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) http://www.tu-berlin.de/www/software/virus/savemode.shtml Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan" klicken. Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected". Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Neues HJT Log posten Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 12.02.2005 um 15:51 Uhr von Heron editiert.
|
|
|
||
12.02.2005, 18:43
Member
Beiträge: 19 |
#25
Logfile Escan:
Sat Feb 12 17:03:23 2005 => File C:\WINDOWS\WTLBUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. Sat Feb 12 17:03:40 2005 => File C:\WINDOWS\System32\CTFMONSS.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus. Action Taken: No Action Taken.Sat Feb 12 17:03:52 2005 => File C:\WINDOWS\System32\egdi32.exe infected by "Trojan-Downloader.Win32.Agent.fv" Virus. Action Taken: No Action Taken.File C:\WINDOWS\sms-stadt[sst-10925,1].exe infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.File C:\WINDOWS\stoolbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.File C:\WINDOWS\WTLBUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action TakenC:\WINDOWS\System32\CSRSSW.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus. Action Taken: No Action Taken.Sat Feb 12 17:20:42 2005 => File C:\WINDOWS\System32\CTFMONSS.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus. Action Taken: No Action Taken.C:\WINDOWS\System32\egdi32.exe infected by "Trojan-Downloader.Win32.Agent.fv" Virus. Action Taken: No Action Taken.C:\WINDOWS\WTLBUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken Stinger Logfile: McAfee AVERT Stinger Version 2.4.9.2 built on Jan 31 2005 Copyright (C) 2005 Networks Associates Technology, Inc. All Rights Reserved. Virus data file v1000 created on Jan 31 2005. Ready to scan for 50 viruses, trojans and variants. Scan initiated on Sat Feb 12 16:13:25 2005 Number of clean files: 161626 das ganze Logfile von exscan ist leider zo gross um es zu posten hier kann ich es per mail schicken?? Dieser Beitrag wurde am 12.02.2005 um 18:51 Uhr von sweetboy200 editiert.
|
|
|
||
12.02.2005, 21:08
Member
Beiträge: 1132 |
#26
Nein! Nur die Zeilen in denen "infected" steht.
Am Ende des Logs steht die Zusammenfassung. Die auch posten! Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 12.02.2005 um 21:12 Uhr von Heron editiert.
|
|
|
||
12.02.2005, 21:13
Member
Beiträge: 19 |
#27
Sat Feb 12 18:12:47 2005 => ***** Scanning complete. *****
Sat Feb 12 18:12:47 2005 => Total Files Scanned: 64603 Sat Feb 12 18:12:47 2005 => Total Virus(es) Found: 19 Sat Feb 12 18:12:47 2005 => Total Disinfected Files: 0 Sat Feb 12 18:12:47 2005 => Total Files Renamed: 0 Sat Feb 12 18:12:47 2005 => Total Deleted Files: 0 Sat Feb 12 18:12:47 2005 => Total Errors: 41 Sat Feb 12 18:12:47 2005 => Time Elapsed: 00:53:36 Sat Feb 12 18:12:47 2005 => Virus Database Date: 2005/02/11 Sat Feb 12 18:12:47 2005 => Virus Database Count: 117901 Sat Feb 12 18:12:47 2005 => Scan Completed. so das is das ende davon oben stehn die files mit virus dann |
|
|
||
12.02.2005, 21:21
Member
Beiträge: 1132 |
#28
Es sind 19 infizierte Dateien gefunden worden! Wo bleibt der Rest? Was Du gepostest hast ist nur ein Teil dessen was eScan gefunden hat!
Lösche mit der Killbox (wie oben beschrieben): C:\WINDOWS\WTLBUI.exe C:\WINDOWS\System32\egdi32.exe C:\WINDOWS\sms-stadt[sst-10925,1].exe C:\WINDOWS\stoolbd.dll C:\WINDOWS\System32\CSRSSW.EXE C:\WINDOWS\System32\CTFMONSS.EXE C:\WINDOWS\System32\egdi32.exe remv3.zip http://forums.skads.org/index.php?showtopic=80 Herunterladen, in einen Extra Ordner packen, im abgesicherten Modus starten und die remv3.bat starten. Danach das von remv3 erzeugte log posten. Aktuelles HJT Log posten! __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 12.02.2005 um 21:23 Uhr von Heron editiert.
|
|
|
||
13.02.2005, 01:44
...neu hier
Beiträge: 4 |
#29
@ sweetboy200
setz dein System mit den aktuellen Patches komplett neu auf...installiere Adaware professional mit Adwatch, Zonealarm, Spybot-Search and destroy, Antivir, vergib eingeschränkte Benutzerrechte für den Internetbesuch, nimm als Browser Mozilla Firefox - und werd glücklich oder arbeite mit Linux aber macht dem Drama hier ein Ende....;-) mfg Night |
|
|
||
13.02.2005, 08:39
Member
Beiträge: 1132 |
#30
Drama? Wieso Drama?
Wenn Du es als Drama empfindest, wenn versucht wird, die Rechner von unerfahrenen Usern wieder flott zu machen, dann hast Du wohl den Sinn und Geist dieses Boards nicht ganz verinnerlicht. Alle, die hier mitarbeiten und ihre Freizeit dafür opfern, könnten sich eine Menge Arbeit sparen, wenn jedesmal nach Deinem bewährten "Hau-Ruck-Verfahren" vorgegangen würde. Warum wohl ist das nicht so? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 13.02.2005 um 08:39 Uhr von Heron editiert.
|
|
|
||
zwei Tipps
A) es genügt nicht, einfach die exe-Dateien zu löschen. Die Registry-Einträge sind nach wie vor vorhanden, und die musst Du auch bereinigen. Weiterhin weißt Du nicht, was diese Malware auf Deinem Rechner schon angerichtet hat.
B) Du hast noch mehr Probleme als ctfmonss.exe und csrssw.exe auf Deinem System!
Poste also ein aktuelles HighjackThis-Log, damit einer der Boardies sich Deiner Probleme annehmen kann.
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch