xxx popup , einträge in den Favoriten |
||
---|---|---|
#0
| ||
09.02.2005, 17:34
Member
Themenstarter Beiträge: 40 |
||
|
||
09.02.2005, 18:36
Ehrenmitglied
Beiträge: 29434 |
#32
Mache alles, bis wir sicher sind, dass alles sauber ist.
#ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html Onlinescann: #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml dann scanne noch mal mit escan, bis alles sauber ist. #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 18:39 Uhr von Sabina editiert.
|
|
|
||
10.02.2005, 08:59
Member
Themenstarter Beiträge: 40 |
#33
Logfile of HijackThis v1.99.0
Scan saved at 08:58:37, on 10.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Anti-Trojan-55\ATWatch.exe C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Spy Sweeper\SpySweeper.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\kavss.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\eScan\AvpM.exe G:\Tools\Anti- Viren & Spyware progs\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Name - {16D5C4F4-450E-4135-90DF-AE1973F82398} - C:\WINDOWS\System32\mskdl.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SpySweeper.exe" /0 O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5D11B294-D36C-4A11-9198-2AF12690B134}: NameServer = 69.50.176.156 195.225.176.31 O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eScan Server-Updater - Unknown - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
10.02.2005, 10:07
Ehrenmitglied
Beiträge: 29434 |
#34
Hallo@baddi
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 1) lade remv3.zip herunter remv3.zip ( 9.85k ) Number of downloads:...... http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!). 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: {16D5C4F4-450E-4135-90DF-AE1973F82398} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Fixe mit dem HijackThis: O2 - BHO: Name - {16D5C4F4-450E-4135-90DF-AE1973F82398} - C:\WINDOWS\System32\mskdl.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{5D11B294-D36C-4A11-9198-2AF12690B134}: NameServer = 69.50.176.156 195.225.176.31 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml 4) starte die datei rem.bat, scannen lassen. kopiere in die Killbox:-->loeschen C:\WINDOWS\System32\mskdl.dll G:\Tools\Media\GDiVX1.9.9.5.exe G:\Tools\Treiber\DivX505Bundle.exe G:\Tools\Up and Download\xolox1.57.exe C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL C:\explorer.cab C:\ied_s7.cab C:\ied_s7m.cab C:\Program Files\IK\sbsetup.exe G:\Tools\Anti- Viren & Spyware progs\hijackthis\backups\backup-20041015-111159-809.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bibitchplaybash\byte File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bibitchplaybash\NEWSETUP.exe File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bibitchplaybash\thirddraw.exe G:\Tools\Media\GDiVX1.9.9.5.exe C:\WINDOWS\msreg.exe C:\WINDOWS\system.exe C:\WINDOWS\System32\dwymp.exe C:\WINDOWS\System32\winpro.exe neustarten Start<Ausfuehren--> %temp% C:\DOKUME~1\G1U3CK~1\LOKALE~1\Temp\<----loesche alle exe-datein in diesem Ordner C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\133a1e5.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\1d76d75.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\21e7bf5.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\2214875.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\26856f5.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\2b32775.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\2fa35f5.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\30d0275.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\3369771.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\a1c2c4.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\bis2.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\bis92.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\cccc5154.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\sta5.exe C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Lokale Einstellungen\Temp\waxrhmff.exe die der escan als infiziert anzeigt.... nicht den Ordner selbst loeschen. C:\Dokumente und Einstellungen\G1u3cK1icHm4cH3r\Anwendungsdaten\Sun\Java\Deployment\cache\<---leere das Cache 5) starte den rechner anschließend im normalen modus. 6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten. 7) markiere den inhalt und füge ihn hier ein. DANN SCANNE NOCH MAL MIT ESCAN (--> loesche alles, was noch angezeigt wird mit der Killbox oder manuell) erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. _________________________________________________________________ Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.02.2005 um 10:26 Uhr von Sabina editiert.
|
|
|
||
10.02.2005, 14:49
Member
Themenstarter Beiträge: 40 |
#35
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ O^E says: "There were no files found " ________________________________________________ 1.377 items found: 1.377 files, 0 directories. Total of file sizes: 288.241.978 bytes 274,89 M Administrator Account = Wahr --------------------End log--------------------- REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{16D5C4F4-450E-4135-90DF-AE1973F82398}" 10.02.2005 13:02:15 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16D5C4F4-450E-4135-90DF-AE1973F82398}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16D5C4F4-450E-4135-90DF-AE1973F82398}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16D5C4F4-450E-4135-90DF-AE1973F82398}\msykk] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16D5C4F4-450E-4135-90DF-AE1973F82398}] Files Found................. ---------------------------------------- run_dos.dll Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished ein paar der von dir angegebenen exe dateien und dll hat er nich gefunden bei der killbox escan hat jetzt nochmal 5 sachen gelöscht |
|
|
||
10.02.2005, 16:45
Ehrenmitglied
Beiträge: 29434 |
#36
loesche mit der Killbox:
C:\WINDOWS\system32\run_dos.dll neustarten dann poste das neue Log vom HijackThs __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.02.2005, 23:12
Member
Themenstarter Beiträge: 40 |
#37
sind die prozesse
TRAYICOS.EXE MAILDISP.EXE MAILSCAN.EXE SPOOLER.EXE KAVSS.EXE normal? kommen mir komisch vor Logfile of HijackThis v1.99.0 Scan saved at 23:11:45, on 10.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Anti-Trojan-55\ATWatch.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\Programme\Spy Sweeper\SpySweeper.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\kavss.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\msiexec.exe G:\Tools\Anti- Viren & Spyware progs\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /reboot{75D46594-4DE1-4A90-AE74-38637D301EF2} /z O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_21.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5D11B294-D36C-4A11-9198-2AF12690B134}: NameServer = 69.50.176.156 195.225.176.31 O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eScan Server-Updater - Unknown - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe da stand das die datei nich existiert bei der killbox |
|
|
||
11.02.2005, 00:55
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo@Baddi
Fixe mit dem HijackThis: O17 - HKLM\System\CCS\Services\Tcpip\..\{5D11B294-D36C-4A11-9198-2AF12690B134}: NameServer = 69.50.176.156 195.225.176.31 NEUSTARTEN VERSION ESCAN--> LEOSCHT NICHT, ZEIGT NUR AN !!!!!!!!!!!!! scanne mit escan und poste, was noch infiziert ist. eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.02.2005 um 00:56 Uhr von Sabina editiert.
|
|
|
||
11.02.2005, 12:10
Member
Themenstarter Beiträge: 40 |
#39
halllooooooooo sabina also prob is jetzt weg
ich hab ne vollversion von escan der hat ziemlich viel gelöscht jetzt sind keine popups mehr da bis jetzt hoff des nervt mi jetzt au nimmer vielen vielen danke für deine hilfe glaub sonst wärs it so schnell gegangen aber noch ne kleine Frage hab auf meinem pc Kaspersky anti hacker escan (vollversion) Spysweeper McAfee Guardian ANti Trojan watch soll ich da was wegtun bzw was halt bremst und unnötig is Mfg LuKes |
|
|
||
11.02.2005, 13:23
Ehrenmitglied
Beiträge: 29434 |
#40
Baddi
Ich weiss, dass du die Vollversion von escan hast, aber das Log vom HijackThis zeigte weiterhin an, dass der Hijacker noch nicht geloescht ist. Deshalb hab ich dir das Erkennungstool gepostet, in der Hoffnung, dass es noch was findet, was der Vollversion entgangen ist Poste also bitte das neue Log vom HijackTHis zur Ueberpruefung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.02.2005, 13:59
Member
Themenstarter Beiträge: 40 |
#41
Logfile of HijackThis v1.99.0
Scan saved at 13:59:36, on 11.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Anti-Trojan-55\ATWatch.exe C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\Programme\Spy Sweeper\SpySweeper.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\kavss.exe C:\PROGRA~1\eScan\AvpM.exe C:\Programme\Steam\Steam.exe C:\Program Files\mIRC\mirc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\MSN Messenger\msnmsgr.exe G:\Tools\Anti- Viren & Spyware progs\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_21.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5D11B294-D36C-4A11-9198-2AF12690B134}: NameServer = 69.50.176.156 195.225.176.31 O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eScan Server-Updater - Unknown - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
11.02.2005, 15:33
Ehrenmitglied
Beiträge: 29434 |
#42
baddi
solange du hast: O17 - HKLM\System\CCS\Services\Tcpip\..\{5D11B294-D36C-4A11-9198-2AF12690B134}: NameServer = 69.50.176.156 195.225.176.31 ist der PC verseucht. scanne deshalb mal mit dem escan-Erkennungstool und poste, was angezeigt wird __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.02.2005, 02:34
Member
Themenstarter Beiträge: 40 |
#43
http://tinyurl.com/4v2bt
das dir nich so langweilig wird mit mir ^^ ich scann grad posten tu ich morgen frühhü ^^ |
|
|
||
12.02.2005, 12:05
Member
Themenstarter Beiträge: 40 |
#44
hmmm escan findet garnix!
|
|
|
||
12.02.2005, 14:33
Ehrenmitglied
Beiträge: 29434 |
#45
Baddi
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip kopiere rein: {5D11B294-D36C-4A11-9198-2AF12690B134} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) o.k. dann noch mal mit remv3.bat scannen und dann das Log vom rem posten + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.02.2005 um 14:39 Uhr von Sabina editiert.
|
|
|
||
sry das ich scho wieder lästig bin (: