F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

#0
23.04.2005, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Hallo@FELIX A

es ist alles sauber ;)

Man sollte nicht zwei Virenscanner aktiv haben , aber Antispywareprogramme kann man nicht genug haben ;)

Der Norton ist o.k. vor allem die Version 2005.

Wenn man allerdings Downloads akzeptiert, dann kann in den meisten Faellen auch die beste Firewall+ Virenscanner nicht viel ausrichten .

Download the beta* of our new anti-spyware software today--> stelle das Tool so ein, dass es im Systemstart erscheint und Echtzeitueberpruefung macht ;)
http://www.microsoft.com/athome/security/spyware/software/default.mspx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2005, 00:30
...neu hier

Beiträge: 4
#32 Hallo @Sabina

JU HU endlich läuft wieder alles einwandfrei :-)
Danke, danke, danke für deine schnelle und vor allem so professionelle Hilfe!!
Des hätte ich nie hinbekommen, hab´s schon etliche Stunden vorher selbst versucht ohne Erfolg! Echt klasse das es Foren gibt mit so Profis wie du, die so leutz wie mich aus der Patsche holen!

Werde mich bemühen mein Rechner in Zukunft sauber zu halten!

Nochmals vielen dank für deine Bemühungen, war echt klasse :-)

MfG Felix
Seitenanfang Seitenende
24.04.2005, 13:25
...neu hier

Beiträge: 10
#33 ich will es gar nicht glauben aber ein panda scan hat mir 2 verseuchte dateien
angezeigt.


Incident Status Location

Spyware:Spyware/BetterInet No disinfected C:\WINDOWS\Bolger.dll
Virus:Trj/Agent.PF Disinfected C:\WINDOWS\system32\DrPMon.dll


Scan saved at 13:20:38, on 24.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
D:\war*hier nicht!*\security\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\PANTONE COLORVISION\Startup\ColorVisionStartup.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: IEbatch (IE automation program) - {331AFAD7-55BB-49D3-A32B-510930B9FBD9} - C:\Programme\IEbatch\Bin\IEbatch.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108286855181
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {853B7AC5-1DC9-484C-972B-479E790D4A4D} (CVxChatControl Object) - http://www.visit-x.net/downloads/applet/853B7AC5-1DC9-484c-972B-479E790D4A4D/7,1,0,6/cP-Client-71-light.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73FFE290-9BD7-4B67-AB01-54BA1B00E2DF}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pephiddsd - Wacom Technology Corporation - (no file)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service - Unknown - C:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Seitenanfang Seitenende
24.04.2005, 22:03
Moderator

Beiträge: 7805
#34 Du kannst es auch mal hiermit versuchen:

http://forum.hijackthis.de/showthread.php?goto=newpost&t=3058
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.04.2005, 01:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 Hallo@rotschman

Schuld ist meine--> hatte vergessen, dass der Bolger.dll zur NAIL-Infektion gehoert......obwohl...ich hatte es nicht vergessen...es steht in deiner liste, was mit der Killbox zu loeschen war...... Achtung!

Falls die Datein noch da sind:


•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\Bolger.dll
C:\WINDOWS\system32\DrPMon.dll

PC neustarten

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2005, 17:06
...neu hier

Beiträge: 4
#36 hi. ich hoffe ich kann bei euch hilfe finden!
ich hab auch ein kleines problem mit der Nail.exe! wenn ich sie mit AntiVir scanne, stürtzt mein PC ab (das tut er so auch schon alle 45 min aber egal ^^ ;) ).



Logfile of HijackThis v1.99.1
Scan saved at 16:49:52, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
G:\Programme\iTunes\iTunesHelper.exe
H:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
c:\windows\system32\yiswgr.exe
H:\Programme\Skype\Phone\Skype.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\ICQ\ICQ.exe
G:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
H:\Programme\Microsoft Office\Office\FINDFAST.EXE
H:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Pascoe\Desktop\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - H:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] G:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NetPumper] "H:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [qzefshmx] C:\WINDOWS\qzefshmx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "G:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [iozo] C:\PROGRA~1\COMMON~1\iozo\iozom.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Microsoft-Indexerstellung.lnk = H:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = H:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Seitenanfang Seitenende
27.04.2005, 00:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 Hallo@RedZ

Start<Ausfuehren<regedit


HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe loeschen--> C:\WINDOWS\Nail.exe

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "System Startup Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"System Startup Service " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start<Ausfuehren<regedit

mit rechtsklick loeschen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVCPROC]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SvcProc]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.




tippe unter Start/Ausfuehren folgendes ein--> oder reinkopieren:

C:\WINDOWS\Nail.exe /FullRemove

dann druecke "enter"


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - H:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [qzefshmx] C:\WINDOWS\qzefshmx.exe
O4 - HKCU\..\Run: [iozo] C:\PROGRA~1\COMMON~1\iozo\iozom.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\svcproc.exe
H:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
H:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
C:\PROGRA~1\COMMON~1\iozo\iozom.exe
C:\WINDOWS\qzefshmx.exe
C:\127021.exe
c:\windows\system32\yiswgr.exe
C:\WINDOWS\system32\dload.exe
C:\WINDOWS\Bolger.dll
C:\WINDOWS\system32\prvdi.exe
C:\WINDOWS\Nail.exe

PC neustarten

C:\PROGRA~1\COMMON~1\iozo\<--loeschen

ClaerProg..lade die neuste Version <1.5.1
http://www.clearprog.de/programme/clearprog/index_new.php
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

CCleaner
http://www.ccleaner.com/ccdownload.asp

C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temp\<--alles loeschen
C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ <--leere alles (lasse nur die index.dat)

damit wird auch das hier geleoscht-->
(NAQ03MF1\Nail[1].exe )

deinstalliere den Antivirus und lade:

avast_4_home
http://www.avast.com/eng/avast_4_home.html
installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach
das Log vom Scann suchen und posten
aswclnr.log
DATA/report/aswboot.txt <--poste mir das Log + das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.04.2005, 20:09
...neu hier

Beiträge: 4
#38 04/28/2005 19:11
Scan aller lokalen Laufwerke
Datei C:\Dokumente und Einstellungen\Pascoe\Desktop\backups\backup-20050428-184047-239.dll ist infiziert von Win32:Bolger [Adw] - Entfernt

Pruefung abgebrochen

Anzahl durchsuchter Ordner: 413
Anzahl getestete Dateien: 3483
Anzahl infizierte Dateien: 1

----------------------------------------
04/28/2005 19:19
Scan aller lokalen Laufwerke
Datei C:\Dokumente und Einstellungen\Pascoe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\184EC3FR\Bolger[1].dll ist infiziert von Win32:Bolger [Adw] - Entfernt






Logfile of HijackThis v1.99.1
Scan saved at 20:07:52, on 28.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
G:\Programme\iTunes\iTunesHelper.exe
H:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
H:\Programme\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Messenger\msmsgs.exe
H:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
H:\Programme\Alwil Software\Avast4\aswUpdSv.exe
H:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\devldr32.exe
H:\Programme\Microsoft Office\Office\FINDFAST.EXE
H:\Programme\Microsoft Office\Office\OSA.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
H:\Programme\Alwil Software\Avast4\ashMaiSv.exe
H:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Pascoe\Desktop\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] G:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NetPumper] "H:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [sunasDtServ] H:\Programme\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "G:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "H:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Microsoft-Indexerstellung.lnk = H:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = H:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - H:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - H:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - H:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - H:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe#


mein PC packt das mit awast nicht, weil er davor immer abkratzt, aber ich hoffe das hilft auch was (tuts wahrscheinlich nich ;) )

vielen vielen danke sabrina, schon mal im vorraus!
Seitenanfang Seitenende
29.04.2005, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 RedZ

Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe loeschen--> C:\WINDOWS\Nail.exe

Fixe mit dem HijackThis:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - H:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - H:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - H:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - H:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

PC neustarten

Deinstalliere den Avast

•Online-Scann (Panda)--> berichte vom Scann
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2005, 18:18
...neu hier

Beiträge: 10
#40 besten dank für die hilfe.

am besten ist es wenn ich mein c, neu installiere.

irgendwie geht es wahrscheinlich auch noch schneller.


gruss rotsch
Seitenanfang Seitenende
05.05.2005, 18:04
...neu hier

Beiträge: 4
#41 so ok, der panda is da:


Incident Status Location

Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Betting.lnk
Adware:Adware/Transponder No disinfected C:\WINDOWS\Bolger.dll
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Betting.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Casino Palace.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Casino.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Games.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Horoscope.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Air Tickets.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Car Rentals.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Hotel Deals.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Luggage.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Find a Degree.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Find a job.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Home.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Insurance.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Auctions.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Books.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Computers.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Discount.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Flowers.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Golf.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Jewelry.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Movies.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Music.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Online Store.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Perfume.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Sleepwear.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\Adware Remover.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\Anti-Virus.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\PC Cleaner.lnk
Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\Tech & gadgets.lnk
Spyware:Spyware/BetterInet No disinfected C:\Dokumente und Einstellungen\Pascoe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\184EC3FR\Bolger[1].dll
Spyware:Spyware/BetterInet No disinfected C:\WINDOWS\Bolger.dll
Adware:Adware/Transponder No disinfected C:\WINDOWS\Nail.exe
Spyware:Spyware/New.net No disinfected F:\Programme\Clicktionary\newdotnet5_20.dll
Spyware:Spyware/Dyfuca No disinfected G:\Programme\AVPersonal\INFECTED\Xvikz.VIR
Spyware:Spyware/ISTbar No disinfected G:\Programme\AVPersonal\INFECTED\kegxcse.VIR
Dieser Beitrag wurde am 06.05.2005 um 15:26 Uhr von RedZ editiert.
Seitenanfang Seitenende
05.05.2005, 18:13
...neu hier

Beiträge: 1
#42 hi,
kann mir vielleicht irgendwer helfen die log-datei von HijackThis auszuwerten? Ich kenn mich da überhaupt nich aus und hab den starken verdacht dass ich einen Virus auf meinem pc hab, aber AntiVir kriegt das irgendwie nich hin...! Ich glaub ich hab den virus über msn bekommen...das war ein link den ich geöffnet hab und dann hat sich ne exe-datei ausgeführt!
wäre nett wenn mir da jemand weiter helfen kann.

besten dank schon einmal!


Logfile of HijackThis v1.99.1
Scan saved at 18:01:38, on 05.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\ggviewer64-38.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\Tauschbörsen\Netpumper\NPP1\NPP1\Crack\NetPumperPro.exe
D:\Downloads\Div Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=135343
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wer-mit-wem.webhop.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=135343
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\Speech\Dragon\web_ie.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TorrentSearch] C:\Programme\TSx\TSx.exe minimized
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows] system.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows] system.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_mainstream.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {2C1651EF-8827-11D6-91A2-00E02964E8E3} (IntRuboskizo Class) - http://www.lawebdeltiempo.com/ruboskizo.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.tonterias.net/ruboskizo2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095359330156
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games5.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O18 - Filter: text/html - {C0DAA637-2856-4AAD-B2BD-1BB19105D090} - C:\Dokumente und Einstellungen\Du bist der Beste!!!\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)
Seitenanfang Seitenende
06.05.2005, 14:45
...neu hier

Beiträge: 10
#43 hallo

da es für mich sehr aufwendig währe das system neu zu installieren möchte ich es trotzdem nochmals gerne versuchen.
falls überhaupt noch jemand lust dazu hat.

damit es dann aber in zukunft wirklich klappt wäre es glaub nicht schlecht einen andern browser zu installieren, oder?

pandascan:

Incident Status Location

Virus:W32/Sober.V.worm Disinfected Persönliche Ordner\Gelöschte Objekte\[Norton AntiSpam] Ihre E-Mail wurde verweigert\autoemail-text.zip[Winzipped-Text_Data.txt .pif]
Virus:W32/Sober.V.worm Disinfected Persönliche Ordner\Gelöschte Objekte\[Norton AntiSpam] Ihr Passwort\dousse_PassWort-Info.zip[Winzipped-Text_Data.txt .pif]
Virus:W32/Sober.V.worm Disinfected Persönliche Ordner\Gelöschte Objekte\Ich bin's, was zum lachen ;)\lol.zip[Winzipped-Text_Data.txt .pif]
Adware:Adware/Transponder No disinfected C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temp\1.tmp\thnall1ac.exe
Adware:Adware/Transponder No disinfected C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temp\F.tmp\thnall1ac.exe
Adware:Adware/Transponder No disinfected C:\WINDOWS\Nail.exe
Adware:Adware/Transponder No disinfected C:\WINDOWS\svcproc.exe
Virus:Trj/Agent.PF Disinfected C:\WINDOWS\system32\DrPMon.dll
Adware:Adware/Transponder No disinfected C:\WINDOWS\system32\npwubn.exe


hijacktjis:

Logfile of HijackThis v1.99.0
Scan saved at 14:39:59, on 06.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\SLEE503.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\windows\system32\npwubn.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\eMule\emule.exe
C:\Programme\Steganos Safe 6\safe.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\war*hier nicht!*\security\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [lhocvb] c:\windows\system32\npwubn.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\PANTONE COLORVISION\Startup\ColorVisionStartup.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: IEbatch (IE automation program) - {331AFAD7-55BB-49D3-A32B-510930B9FBD9} - C:\Programme\IEbatch\Bin\IEbatch.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108286855181
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73FFE290-9BD7-4B67-AB01-54BA1B00E2DF}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pephiddsd - Wacom Technology Corporation - (no file)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service - Unknown - C:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Seitenanfang Seitenende
06.05.2005, 16:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 Redz

Mit der Killbox zu loeschen (aber bitte richtig)
C:\WINDOWS\Bolger.dll
C:\WINDOWS\Nail.exe
F:\Programme\Clicktionary\newdotnet5_20.dll

C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Betting.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Casino Palace.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Casino.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Games.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Horoscope.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Air Tickets.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Car Rentals.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Hotel Deals.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places\Luggage.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Find a Degree.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Find a job.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Home.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\Insurance.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Auctions.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Books.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Computers.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Discount.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Flowers.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Golf.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Jewelry.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Movies.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Music.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Online Store.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Perfume.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop\Sleepwear.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\Adware Remover.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\Anti-Virus.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\PC Cleaner.lnk
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology\Tech & gadgets.lnk

PC neustarten


---------------------------------------------------------------------------------------------------------------------------------

manuell loeschen:


C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Going Places
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Living\
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Shop
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Technology

und scanne noch mal mit panda+ poste das neue Log vom HIjackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2005, 16:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Hallo@

loesche manuell/oder mit der Killbox:

C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temp\1.tmp\thnall1ac.exe
C:\Dokumente und Einstellungen\sandra\Lokale Einstellungen\Temp\F.tmp\thnall1ac.exe
C:\WINDOWS\Nail.exe
C:\WINDOWS\svcproc.exe
C:\WINDOWS\system32\DrPMon.dll
C:\WINDOWS\system32\npwubn.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende