WORM_RBOT.ALF - im Virus Hilfe von der Protecus Community" />
"Home Search Assistent" und svapache.exe-->WORM_RBOT.ALF |
||
---|---|---|
#0
| ||
07.02.2005, 11:14
Ehrenmitglied
Beiträge: 29434 |
||
|
||
07.02.2005, 11:31
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EALF&VSect=T This worm arrives as WINLOGONS.EXE on target machines. It spreads by dropping a copy of itself as SVAPACHE.EXE in accessible network shares. If the said shares are inaccessible, it uses a hardcoded list of user names and passwords to gain access. It may also spread by taking advantage of systems vulnerable to the following Windows exploits: * The RPC/DCOM vulnerability, which allows an attacker to gain full access and execute any code on a target machine by sending a malformed packet to the DCOM service. It uses the RPC TCP port 135. More information on this vulnerability is found in Microsoft Security Bulletin MS03-026. * The Windows LSASS vulnerability, which is a buffer overrun that allows remote code execution and enables a malicious user to gain full control of the affected system. This vulnerability is discussed in detail in Microsoft Bulletin MS04-011 and Trend Micro's Vulnerability Description for MS04-011. «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivien Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das gleiche machst du mit. {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} ISEXEng XPSP2 Firewall SearchUpgrader tapisys Trickler Rmqx windllsys32.exe 0CAT YellowPages alles posten bitte #Gehe auf diese Seite: http://www.lavasofthelp.com/submit/ kopiere folgendes Submit) Copy and paste the full filepaths below and hit "submit", one at a time: C:\WINDOWS\System32\w?wexec.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\WINDOWS\System32\twink64.exe C:\WINDOWS\system32\xpsp2fw.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\Programme\Kazaa\kazaa.exe C:\WINDOWS\System32\svapache.exe C:\WINDOWS\System32\tss.exe c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe C:\Programme\0CAT YellowPages\STIEbar.dll C:\WINDOWS\System32\angelex.exe ____________________________________________________________________________- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [Microsoft Explorer] svapache.exe O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe" O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe-->WORM_RBOT.ALF O4 - HKCU\..\Run: [BD] "C:\Dokumente und Einstellungen\Enzo\Desktop\FotoJPG.com" O4 - HKCU\..\Run: [Enna] C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe O4 - HKCU\..\Run: [Rmqx] C:\WINDOWS\System32\w?wexec.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe O4 - HKCU\..\Run: [windllsys32.exe] C:\WINDOWS\System32\windllsys32.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing) O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing) O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c46.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing) PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot <und klick auf das rote Kreuz, kopiere rein: C:\WINDOWS\System32\windllsys32.exe C:\WINDOWS\System32\w?wexec.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\WINDOWS\System32\twink64.exe C:\WINDOWS\system32\xpsp2fw.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\Programme\Kazaa\kazaa.exe C:\WINDOWS\System32\svapache.exe C:\WINDOWS\System32\tss.exe c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe C:\Programme\0CAT YellowPages\STIEbar.dll C:\WINDOWS\System32\angelex.exe wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) Gehe in die Registry Start<Ausfuehren<regedit [HKEY_LOCAL_MACHINE] \SYSTEM\CurrentControlSet\Services\ loesche: ISEXEng" WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe"" [HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet001\Services\ loesche: ISEXEng" WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe"" [HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet002\Services\ loesche: ISEXEng" WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe"" [HKEY_LOCAL_MACHINE] \SYSTEM\ControlSet003\Services\ loesche: ISEXEng" WERT ""ImagePath"" ""C:\WINDOWS\system32\angelex.exe"" #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann Deinstalliere den Antivirus (free) und lade: #Testversion "Antivirus Personal 5.0" http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/ Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)] gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner von Kaspersky starten Gehe wieder in den Normalmodus _______________________________________________________________________ #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #RegSupreme: http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/ RegSupreme Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt. Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 11:42 Uhr von Sabina editiert.
|
|
|
||
08.02.2005, 21:57
...neu hier
Beiträge: 8 |
#3
Vielen Dank Sabina,
es hat alles geklappt bis auf folgendes Problem: wenn ich im Internet bin, dann nach ca. 4-5 Min. kann ich keine Seite mehr aufrufen. Ich werde dann immer zu so einer doofen Seite 66.102.9.104 umgeleitet. Es handelt sich glaube ich um einen "notify dll hijacker" laut ad-ware. Das ist mein allergrößtes Problem. Sitze schon seit 18 Stunden davor und drehe irgendwann auch ab. Kann es mir nicht erlauben, Win neu zu formatieren. Logfile of HijackThis v1.99.0 Scan saved at 20:45:06, on 08.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Enzo\Lokale Einstellungen\Temp\HijackThis.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) ich bekomme die beiden dinger (015) nicht weg. würde mich sehr freuen, wenn mir jemand helfen kann. Danke im Voraus. Gruß Enzo |
|
|
||
08.02.2005, 23:04
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Hallo@Enzo
Schade, dass du mir nicht die Registry Search Tool :-Eintreage gepostet hast..ich haette das gern gesehen Dein Log sieht sehr klein aus...hast du alles gepostet????? 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ----------------------------------------------------------------------------------------- PC neustarten--> poste das komplette Log, bitte (und mache die WindowsUpdates...SP2) , falls du eine gueltige CD-Key hast, sonst ist dein System sehr schnell wieder infiziert. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.02.2005 um 23:06 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 00:02
...neu hier
Beiträge: 8 |
#5
Hallo Sabina,
ersteinmal vielen Dank. So sieht jetzt mein posting aus. Ich hab alles gepostet. Die merkwürdigen Dateien sind zwar weg, aber das Problem mit dem Internet, dass ich nach ca. 4-5 min keine Seite mehr aufrufen kann ist immer noch. Mir wird immer wenn ich den PC starte > IE about:blank angezeigt. Es will einfach nicht funktionieren. Wenn du mir dabei helfen könntest, wäre ich Dir sehr, sehr dankbar. Weil ich sehe keinen Aussweg mehr. Logfile of HijackThis v1.99.0 Scan saved at 22:54:28, on 08.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe D:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Enzo\Lokale Einstellungen\Temp\HijackThis.exe C:\WINDOWS\System32\imapi.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ Gruß Enzo |
|
|
||
09.02.2005, 00:05
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#6
#Antivirus (free)--> poste das log vom Scann (scanne im abgesicherten Modus)
http://www.free-av.de/ [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html 1. Click "Check For Update" (If an update isn't available, skip to step #4.) 2. Click "Click here to Download the upate". 3. When the new version has been downloaded, click "Save". 4. Click "Fix ->" Log-->"make Report" __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 00:06 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 01:44
...neu hier
Beiträge: 8 |
#7
Hallo Sabina,
hier der Report von CWShredder **** Run Keys **** **** Browser Helper Objects **** **** IE Toolbars **** **** IE Extensions **** **** Hosts File Entries **** HOSTS: 127.0.0.1 localhost HOSTS: 127.0.0.1 www.igetnet.com HOSTS: 127.0.0.1 code.ignphrases.com HOSTS: 127.0.0.1 clear-search.com HOSTS: 127.0.0.1 r1.clrsch.com HOSTS: 127.0.0.1 sds.clrsch.com HOSTS: 127.0.0.1 status.clrsch.com HOSTS: 127.0.0.1 www.clrsch.com HOSTS: 127.0.0.1 clr-sch.com HOSTS: 127.0.0.1 sds-qckads.com HOSTS: 127.0.0.1 status.qckads.com **** IE Settings **** Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Local Page: C:\WINDOWS\SYSTEM32\blank.htm Search Bar: http://www.google.com Search Page: http://www.google.com **** IE Context Menu (Right click) **** **** Layered Service Providers **** LSP: MSAFD Irda [IrDA] LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] DATAGRAM 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] DATAGRAM 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] DATAGRAM 4 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab] {8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab] {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab] {D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab] **** Windows Services **** [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AntiVirService] C:\Programme\AVPersonal\AVGUARD.EXE [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE" [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [cisvc] C:\WINDOWS\System32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [ImapiService] C:\WINDOWS\System32\imapi.exe [Irmon] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [PlugPlay] %SystemRoot%\system32\services.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SCardDrv] %SystemRoot%\System32\SCardSvr.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{74EEADE2-DB32-47F9-BE51-E8CD88DDDF89} [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TlntSvr] C:\WINDOWS\System32\tlntsvr.exe [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSp] %SystemRoot%\System32\svchost.exe -k netsvcs [Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [] SEARCH: [CustomizeSearch] http://www.ebay.de SEARCH: [SearchAssistant_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/ SEARCH: [SearchAssistant] http://www.google.com SEARCH: [SearchAssistant] http://www.google.com SEARCH: [CustomizeSearch] http://www.ebay.de SEARCH: [] **** Complete IE Options **** IEOPT: [NoUpdateCheck] IEOPT: [NoJITSetup] IEOPT: [Disable Script Debugger] yes IEOPT: [Show_ChannelBand] No IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Display Inline Images] yes IEOPT: [Do404Search] IEOPT: [Local Page] C:\WINDOWS\SYSTEM32\blank.htm IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [Start Page] http://www.ebay.de IEOPT: [Use_DlgBox_Colors] yes IEOPT: [Search Page] http://www.google.com IEOPT: [Check_Associations] No IEOPT: [FullScreen] no IEOPT: [Use FormSuggest] yes IEOPT: [Window_Placement] , IEOPT: [NotifyDownloadComplete] yes IEOPT: [AddToFavoritesExpanded] IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [Error Dlg Details Pane Open] no IEOPT: [Default_Search_URL] http://www.ebay.de IEOPT: [BandRest] Never IEOPT: [Search Bar_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/ IEOPT: [Search Page_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/ IEOPT: [Use Search Assistant] no IEOPT: [SearchURL] IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho IEOPT: [conc] E ÙA://quickmetasearch.com/?said=acc0001_ho IEOPT: [FormSuggest Passwords] yes IEOPT: [FormSuggest PW Ask] yes IEOPT: [ShowedCheckBrowser] Yes IEOPT: [Search Bar] http://www.google.com IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Page] http://www.google.com IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] %SystemRoot%\system32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] http://www.ebay.de IEOPT: [CompanyName] Microsoft Corporation IEOPT: [Custom_Key] MICROSO IEOPT: [Wizard_Version] 6.0.2600.0000 IEOPT: [FullScreen] no IEOPT: [Search Bar] http://www.google.com IEOPT: [AddClsReg] IEOPT: [AddClsID] IEOPT: [AddClsADtid] IEOPT: [AddClsutid] IEOPT: [AClsBnxt] IEOPT: [BandRest] Never IEOPT: [SearchURL] IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho Das Problem ist immer noch da, ich bin am verzweifeln. Ich glaube keiner kann mehr helfen. gruß enzo |
|
|
||
09.02.2005, 11:27
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#8
Hallo@enzox
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) lösche alles , lasse nur stehen: 127.0.0.1 localhost #Orginal Host Datei dann gehe in die Registry Start<Ausfuehren<regedit HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN loesche mit rechtsklick: SEARCH: [SearchAssistant_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/ IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho schliesse die Registry versuch es mal: kopiere in die Killbox: C:\WINDOWS\system32\xpsp2fw.exe C:\WINDOWS\System32\windllsys32.exe C:\WINDOWS\System32\smkey32.dll C:\WINDOWS\System32\smrss.exe C:\Programme\STLinks\STLinks.dll C:\Programme\STHomePage\STHomePage.dll wird da was angezeigt als vorhanden, also loeschbar?--> wenn ja, loeschen und PC neustarten _______________________________________________________ AntiVir No viruses found (0.15 seconds taken) Avast Win32edler-K-UPX (1.51 seconds taken) BitDefender Win32.Worm.Dedler.H (0.34 seconds taken) ClamAV No viruses found (0.42 seconds taken) Dr.Web Win32.HLLW.Dedler (0.56 seconds taken) F-Prot Antivirus W32/Dedler.AD (0.07 seconds taken) Kaspersky Anti-Virus Net-Worm.Win32.Dedler.h (0.69 seconds taken) mks_vir Worm.Dedler.H (0.26 seconds taken) NOD32 Win32/Dedler.NAF (0.38 seconds taken) Norman Virus Control Dedler.H (0.15 seconds taken) dann deinstalliere den Antivirus wieder und lade: #Download NOD32 Antivirus System http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann dann moechte ich auch das scanlog vom NOD32 -Scanner sehen sehen (du solltest im abgesicherten Modus scannen) + das neue Log vom CSWhredder. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 11:43 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 14:00
...neu hier
Beiträge: 8 |
#9
Hallo Sabina,
mein Internet funktionert wieder. Du hast mir sehr geholfen. Herzlichen Dank. Gruß Enzo |
|
|
||
09.02.2005, 14:05
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#10
Hallo@enzox
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen) http://bilder.informationsarchiv.net/Nikitas_Tools/ Bitte, poste alles, worum ich dich gebeten habe...wir sind noch nicht fertiG <das Log vom ADAware <das neue Log vom CSWhredder. < das neue Log vom HijackThis berichte auch, ob der neue Virenscanner NOD32 was geloescht hat, bitte __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 14:09 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 15:42
...neu hier
Beiträge: 8 |
#11
Hallo Sabina,
Ad-Aware SE Build 1.05 Logfile Created on:Mittwoch, 9. Februar 2005 14:41:18 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R27 05.02.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):6 total references Tracking Cookie(TAC index:3):2 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 09.02.2005 14:41:18 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-1343024091-1647877149-1801674531-1003\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Enzo\recent Description : list of recently opened documents Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 532 ThreadCreationTime : 09.02.2005 09:59:41 BasePriority : Normal #:2 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 616 ThreadCreationTime : 09.02.2005 09:59:44 BasePriority : High #:3 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 660 ThreadCreationTime : 09.02.2005 09:59:45 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:4 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 672 ThreadCreationTime : 09.02.2005 09:59:45 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:5 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 840 ThreadCreationTime : 09.02.2005 09:59:45 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 916 ThreadCreationTime : 09.02.2005 09:59:45 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1292 ThreadCreationTime : 09.02.2005 09:59:47 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:8 [avgnt.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1660 ThreadCreationTime : 09.02.2005 09:59:50 BasePriority : Normal #:9 [zlclient.exe] FilePath : C:\Programme\Zone Labs\ZoneAlarm\ ProcessID : 1672 ThreadCreationTime : 09.02.2005 09:59:51 BasePriority : Normal FileVersion : 5.1.033.000 ProductVersion : 5.1.033.000 ProductName : Zone Labs Client CompanyName : Zone Labs Inc. FileDescription : Zone Labs Client InternalName : zlclient LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : zlclient.exe #:10 [msnmsgr.exe] FilePath : C:\Programme\MSN Messenger\ ProcessID : 1680 ThreadCreationTime : 09.02.2005 09:59:51 BasePriority : Normal FileVersion : 6.2.0137 ProductVersion : Version 6.2 ProductName : MSN Messenger CompanyName : Microsoft Corporation FileDescription : MSN Messenger InternalName : msnmsgr LegalCopyright : Copyright (c) Microsoft Corporation 1997-2004 LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries. OriginalFilename : msnmsgr.exe #:11 [avguard.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1764 ThreadCreationTime : 09.02.2005 09:59:55 BasePriority : Normal #:12 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1832 ThreadCreationTime : 09.02.2005 09:59:55 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:13 [vsmon.exe] FilePath : C:\WINDOWS\system32\ZoneLabs\ ProcessID : 1884 ThreadCreationTime : 09.02.2005 09:59:55 BasePriority : Normal FileVersion : 5.1.033.000 ProductVersion : 5.1.033.000 ProductName : TrueVector Service CompanyName : Zone Labs Inc. FileDescription : TrueVector Service InternalName : vsmon LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : vsmon.exe #:14 [msimn.exe] FilePath : C:\Programme\Outlook Express\ ProcessID : 1416 ThreadCreationTime : 09.02.2005 10:01:03 BasePriority : Normal FileVersion : 6.00.2600.0000 (xpclient.010817-1148) ProductVersion : 6.00.2600.0000 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Outlook Express InternalName : MSIMN LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : MSIMN.EXE #:15 [emule.exe] FilePath : C:\Programme\eMule.de\ ProcessID : 1432 ThreadCreationTime : 09.02.2005 10:10:27 BasePriority : Normal FileVersion : 0.44.1 ProductVersion : 0.44.1 ProductName : eMule CompanyName : http://www.emule-project.net FileDescription : eMule InternalName : emule.exe LegalCopyright : Copyright © 2002-2004 Merkur - read license.txt for more infos OriginalFilename : emule.exe #:16 [iexplore.exe] FilePath : C:\Programme\Internet Explorer\ ProcessID : 1948 ThreadCreationTime : 09.02.2005 13:22:26 BasePriority : Normal FileVersion : 6.00.2600.0000 (xpclient.010817-1148) ProductVersion : 6.00.2600.0000 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Internet Explorer InternalName : iexplore LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : IEXPLORE.EXE #:17 [rundll32.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1004 ThreadCreationTime : 09.02.2005 13:31:50 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Eine DLL-Datei als Anwendung ausführen InternalName : rundll LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : RUNDLL.EXE #:18 [taskmgr.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 580 ThreadCreationTime : 09.02.2005 13:33:49 BasePriority : High FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Task-Manager InternalName : taskmgr LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : taskmgr.exe #:19 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 548 ThreadCreationTime : 09.02.2005 13:34:10 BasePriority : Normal FileVersion : 6.00.2600.0000 (xpclient.010817-1148) ProductVersion : 6.00.2600.0000 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:20 [ad-aware.exe] FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\ ProcessID : 2000 ThreadCreationTime : 09.02.2005 13:40:43 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 6 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 6 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 6 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking Cookie Object Recognized! Type : IECache Entry Data : enzo@atdmt[2].txt Category : Data Miner Comment : Hits:2 Value : Cookie:enzo@atdmt.com/ Expires : 08.02.2010 01:00:00 LastSync : Hits:2 UseCount : 0 Hits : 2 Tracking Cookie Object Recognized! Type : IECache Entry Data : enzo@doubleclick[2].txt Category : Data Miner Comment : Hits:8 Value : Cookie:enzo@doubleclick.net/ Expires : 09.02.2008 11:17:58 LastSync : Hits:8 UseCount : 0 Hits : 8 Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 2 Objects found so far: 8 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 8 Deep scanning and examining files (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 8 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 11 entries scanned. New critical objects:0 Objects found so far: 8 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 8 14:49:51 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:08:33.63 Objects scanned:96388 Objects identified:2 Objects ignored:0 New critical objects:2 _________________________________________________________________ **** Run Keys **** RUN: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min RUN: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" RUN: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background **** Browser Helper Objects **** **** IE Toolbars **** **** IE Extensions **** **** Hosts File Entries **** HOSTS: 127.0.0.1 localhost HOSTS: 127.0.0.1 www.igetnet.com HOSTS: 127.0.0.1 code.ignphrases.com HOSTS: 127.0.0.1 clear-search.com HOSTS: 127.0.0.1 r1.clrsch.com HOSTS: 127.0.0.1 sds.clrsch.com HOSTS: 127.0.0.1 status.clrsch.com HOSTS: 127.0.0.1 www.clrsch.com HOSTS: 127.0.0.1 clr-sch.com HOSTS: 127.0.0.1 sds-qckads.com HOSTS: 127.0.0.1 status.qckads.com **** IE Settings **** Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Local Page: C:\WINDOWS\SYSTEM32\blank.htm Search Bar: http://www.google.com Search Page: http://www.google.com **** IE Context Menu (Right click) **** **** Layered Service Providers **** LSP: MSAFD Irda [IrDA] LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DF938319-B86A-46A1-AC86-C5AB332FC86E}] DATAGRAM 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{FA228F61-8E7D-4A49-92A3-27B481F4F922}] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{51B02A37-9FE6-4E50-8E06-792EE7CE790A}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{210345A0-C693-489F-BF08-D3B382FFCF7F}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{544178ED-CF59-4028-8CE0-B09F516CA9C4}] DATAGRAM 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}] DATAGRAM 4 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab] {8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab] {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab] {D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab] **** Windows Services **** [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AntiVirService] "C:\Programme\AVPersonal\AVGUARD.EXE" [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [AVWUpSrv] "C:\Programme\AVPersonal\AVWUPSRV.EXE" [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [cisvc] C:\WINDOWS\System32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [ImapiService] C:\WINDOWS\System32\imapi.exe [Irmon] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [PlugPlay] %SystemRoot%\system32\services.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SCardDrv] %SystemRoot%\System32\SCardSvr.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{74EEADE2-DB32-47F9-BE51-E8CD88DDDF89} [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TlntSvr] C:\WINDOWS\System32\tlntsvr.exe [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [vsmon] C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSp] %SystemRoot%\System32\svchost.exe -k netsvcs [Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [] SEARCH: [SearchAssistant_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/ SEARCH: [SearchAssistant] http://www.google.com SEARCH: [SearchAssistant] http://www.google.com SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm SEARCH: [] **** Complete IE Options **** IEOPT: [NoUpdateCheck] IEOPT: [NoJITSetup] IEOPT: [Disable Script Debugger] yes IEOPT: [Show_ChannelBand] No IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Display Inline Images] yes IEOPT: [Do404Search] IEOPT: [Local Page] C:\WINDOWS\SYSTEM32\blank.htm IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [Start Page] http://www.ebay.de/ IEOPT: [Use_DlgBox_Colors] yes IEOPT: [Search Page] http://www.google.com IEOPT: [Check_Associations] No IEOPT: [FullScreen] no IEOPT: [Use FormSuggest] yes IEOPT: [Window_Placement] , IEOPT: [NotifyDownloadComplete] yes IEOPT: [AddToFavoritesExpanded] IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [Error Dlg Details Pane Open] no IEOPT: [BandRest] Never IEOPT: [Search Bar_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/ IEOPT: [Search Page_bak] http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/ IEOPT: [Use Search Assistant] no IEOPT: [SearchURL] IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho IEOPT: [conc] E ÙA://quickmetasearch.com/?said=acc0001_ho IEOPT: [FormSuggest Passwords] yes IEOPT: [FormSuggest PW Ask] yes IEOPT: [ShowedCheckBrowser] Yes IEOPT: [Search Bar] http://www.google.com IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Page] http://www.google.com IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] %SystemRoot%\system32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] about:blank IEOPT: [CompanyName] Microsoft Corporation IEOPT: [Custom_Key] MICROSO IEOPT: [Wizard_Version] 6.0.2600.0000 IEOPT: [FullScreen] no IEOPT: [Search Bar] http://www.google.com IEOPT: [AddClsReg] IEOPT: [AddClsID] IEOPT: [AddClsADtid] IEOPT: [AddClsutid] IEOPT: [AClsBnxt] IEOPT: [BandRest] Never IEOPT: [SearchURL] IEOPT: [FirstHomePage] http://quickmetasearch.com/?said=acc0001_ho _________________________________________________________________ Logfile of HijackThis v1.99.0 Scan saved at 14:31:07, on 09.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Outlook Express\msimn.exe C:\DOKUME~1\Enzo\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Enzo\LOKALE~1\Temp\kavss.exe C:\Programme\eMule.de\emule.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Enzo\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O17 - HKLM\System\CCS\Services\Tcpip\..\{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}: NameServer = 213.191.92.87 213.191.74.18 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe _________________________________________________________________ NOD32 lasse ich gerade scannen. about:blank ist wieder da. Ich bekomme das kotzen. Die verfickte Schei... von about:blank bekommt man einfach nicht weg. Gruß Enzo |
|
|
||
09.02.2005, 15:48
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#12
Deaktivieren Wiederherstellung
«XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. loesche das aus der Registry findest du unter diesen Schluesseln: HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN SEARCH: [SearchAssistant_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* IEOPT: [Search Bar_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* IEOPT: [Search Page_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) lösche alles , lasse nur stehen: 127.0.0.1 localhost #Orginal Host Datei deinstalliere Antivirus und lade: #Download NOD32 Antivirus System http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. mache einen Fullscann im abgesicherten Modus und dann will ich alle Logs noch mal sehen __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 17:18 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 16:49
...neu hier
Beiträge: 8 |
#13
Hallo Sabina,
habe folgende Fragen zu: "loesche das aus der Registry findest du unter diesen Schluesseln: HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN SEARCH: [SearchAssistant_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* IEOPT: [Search Bar_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* IEOPT: [Search Page_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/"* 1.wo finde ich HKCU\software usw. ? Hijackerthis ? 2.was soll ich mit SEARCH: [SearchAssistant_bak] *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* anfangen ? Ich werde da nur auf eine suchseite umgeleitet. 3. Bei mir hat er nicht die Datei "#orginal Host Datei", was soll ich machen ? Gruß Enzo Dieser Beitrag wurde am 09.02.2005 um 17:09 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 17:07
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#14
Hallo@enzox
oh, mein Gott du darfst doch nicht auf die Links klicken ? Hast du denn voellig den Verstand verloren ????????????????????? _____________________________________________________________________________ gehe bitte in die Registry Start<Ausfuehren--> schreibb rein: regedit die Registry oeffnet sich nun navegierst du zu: HKCU\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\ [SearchAssistant_bak] [Search Bar_bak] [Search Page_bak] dort loeschst du mit rechtsklick : *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* gleiches unter diesem Schluessel: HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN [SearchAssistant_bak] [Search Bar_bak] [Search Page_bak] dort loeschst du mit rechtsklick : *http://%77%77%77%2E%65%2D%66%69%6E%64%65%72%2E%63%63/%73%65%61%72%63%68/* dann ueberpruefst du wieder, ob die Hostdatei sauber ist (mit dem HijackThis) -->HOSTS: 127.0.0.1 localhost (nur das darf drinstehen) deinstalliere Antivirus und lade: #Download NOD32 Antivirus System http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. abgesicherten Modus -->F8 DRUECKEN, WENN DER PC HOCHFAEHRT UND MELDE DICH ALS ADMINISTRATOR AN) mache einen Komplettscann mit dem NOD32 Antivirus System und dann will ich alle Logs noch mal sehen __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 17:17 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 17:39
...neu hier
Beiträge: 8 |
#15
Hallo Sabina,
wenn ich in "regedit" rein gehen, dann bekomme ich nur Schlüssle mit HKEY. Es gibt keinen der mit HKCU oder HKLM ist ???? gruß enzo |
|
|
||
habe "Home Search Assistent" und "Search Extender" auf meinem PC. Ich bekomme diese Dinger natürlich nicht runter.
Wer kann mir helfen ?
Logfile of HijackThis v1.99.0
Scan saved at 19:48:32, on 05.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Kazaa\kazaa.exe
C:\WINDOWS\System32\svapache.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe
C:\WINDOWS\System32\w?wexec.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Enzo\Lokale Einstellungen\Temp\HijackThis.exe
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [Microsoft Explorer] svapache.exe
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\enzo\lokale einstellungen\temp\fsg_4203c.exe"
O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BD] "C:\Dokumente und Einstellungen\Enzo\Desktop\FotoJPG.com"
O4 - HKCU\..\Run: [Enna] C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\eoss.exe
O4 - HKCU\..\Run: [Rmqx] C:\WINDOWS\System32\w?wexec.exe
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O4 - HKCU\..\Run: [windllsys32.exe] C:\WINDOWS\System32\windllsys32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing)
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c46.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C20EB175-0DD0-4979-A994-1F0DBA69F627} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1032_EN.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B14455AE-B05D-42ED-A575-B8D2FB9FBD76}: NameServer = 213.191.92.87 213.191.74.18
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________
MfG Sabina
rund um die PC-Sicherheit