TR\LEFEAT.DLL1 wie entfernen? |
||
---|---|---|
#0
| ||
14.02.2005, 22:30
...neu hier
Beiträge: 5 |
||
|
||
15.02.2005, 10:33
Ehrenmitglied
Beiträge: 29434 |
#62
Hallo@AlphawolfWMP
1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ----------------------------------------------------------------------------------------- Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei fixme.reg mit der rechten Maustaste an und dann auf 'Installieren'. REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\½O.#ž‚„õØ´â] [-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ICOO] [-HKEY_CLASSES_ROOT\CLSID\{AB9E092A-BF8D-71DD-9AA4-6E0B78BFA0CE}] #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {AB9E092A-BF8D-71DD-9AA4-6E0B78BFA0CE} - C:\WINDOWS\system32\crcx32.dll O4 - HKLM\..\Run: [TVTip] D:\Programme\TV Movie ClickFinder\tvtip.EXE /m O4 - HKLM\..\Run: [crcx32.exe] C:\WINDOWS\system32\crcx32.exe O4 - HKLM\..\Run: [111.tmp] C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\111.tmp.exe 0 28129 O4 - HKLM\..\RunOnce: [nthy.exe] C:\WINDOWS\system32\nthy.exe O4 - HKLM\..\RunOnce: [addqw32.exe] C:\WINDOWS\system32\addqw32.exe O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". C:\WINDOWS\d3kj.exe C:\WINDOWS\d3gz.exe C:\WINDOWS\system32\blank.htm C:\WINDOWS\System32\addqu.exe C:\WINDOWS\System32\apisp32.exe C:\WINDOWS\system32\nthy.exe C:\WINDOWS\system32\mfcvy.exe C:\WINDOWS\iwtss.txt C:\WINDOWS\system32\crcx32.exe C:\WINDOWS\system32\crcx32.dll C:\WINDOWS\system32\addqw32.exe C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\111.tmp.exe PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der pC hochfaehrt) ueberpruefe, ob das geloescht ist --> loeschen !!!!!!!!!!!! C:\DOKUME~1\WEBPRO~1\LOKALE~1\Temp\111.tmp mache einen Komplettscann mit dem Antivirus und poste mir dann den Scann-Report. X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien scanne auch im abgesicherten Modus noch einmal mit: Log for VX2.BetterInternet File Finder gehe wieder in den Normalmodus Close Ad-Aware (if running) Download the VX2 Cleaner here http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml Install the VX2 Cleaner Start Ad-Aware Go to “Add-ons” Select the VX2 Cleaner add-on and click “Run Tool” If your computer isn’t infected, click “Close”. If your computer is infected Select “Clean System” Reboot your computer Scan your computer with Ad-Aware Remove any VX2 objects detected Reboot your computer again Run a second scan to make sure the files have been removed from your computer. + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.02.2005 um 10:59 Uhr von Sabina editiert.
|
|
|
||
15.02.2005, 11:03
Ehrenmitglied
Beiträge: 29434 |
#63
Hallo@ecLie
Dienste anzeigen: License: Freeware/Getservices Note: You must run this program as a user with Administrator privaleges. ->klicke auf "getservice.bat und poste, was im Editor erscheint. http://www.bleepingcomputer.com/files/getservices.php __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.02.2005, 18:21
...neu hier
Beiträge: 10 |
#64
AntiVir Log:
Erstellungsdatum der Reportdatei: Dienstag, 15. Februar 2005 17:31 AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004 VDF-Datei v6.29.0.122 (0) vom 11.02.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 97487 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ EMail ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 () Benutzername: Administrator Computername: IGOR Prozessor: Pentium Arbeitsspeicher: 523760 KB frei Versionsinformationen: AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44 AVEWIN32.DLL : v6.29.0.11 807424 10.02.2005 00:57:20 AVGNT.EXE : v6.28.00.02 127016 14.12.2004 17:50:44 AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44 GUARDMSG.DLL : v6.28.00.02 98344 14.12.2004 17:50:44 AVGCMSG.DLL : v6.28.00.02 266280 14.12.2004 17:50:44 AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44 AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44 AVGETVER.DLL : v6.22.00.00 24576 17.03.2004 14:59:42 AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44 AVSHLEXT.DLL : v6.22.00.00 57344 17.03.2004 15:00:00 AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44 AVSched32.DLL : v6.28.00.01 122880 14.12.2004 17:50:44 AVREG.DLL : v6.27.00.01 41000 14.12.2004 17:50:44 AVRep.DLL : v6.29.00.122 954408 13.02.2005 22:40:00 INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44 INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44 CTL3D32.DLL : v2.31.000 27136 23.08.2001 13:00:00 MFC42.DLL : v6.00.8665.0 995383 23.08.2001 13:00:00 MSVCRT.DLL : v7.0.2600.0 (xpclient.010817-1148 MSVCRT.DLL : v7.0.2600.0 (x 322560 23.08.2001 13:00:00 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: D:\Programme\AV Personal\AVWIN.INI Name der Reportdatei: D:\Programme\AV Personal\LOGFILES\AVWIN.LOG Startpfad: D:\Programme\AV Personal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [ ] Reparieren mit Rückfrage [X] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [ ] Löschen mit Rückfrage [X] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: Festplatte E: CDRom F: CDRom H: Festplatte Start des Suchlaufs: Dienstag, 15. Februar 2005 17:31 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Administrator NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! NTUSER.DAT.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys 511a0f3f9e960fa97de3d0b74adfc574_7e74077e-ffd4-451c-acd6-53dac3abb0f3 Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! c260c6993184e7b42fbe9ff47efbadc6_7e74077e-ffd4-451c-acd6-53dac3abb0f3 Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson user.dmp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Verena\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IWXRAR53 jack2[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\Web Production Unit\Desktop\Programme_Treiber _Specials klickfinder.part2.rar ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) klickfinder.part3.rar ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) klickfinder.part4.rar ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) pdfmachine95de.exe ArchiveType: ZIP SFX (self extracting) --> bgsSetup.exe [FUND!] Diese Datei enthält verdächtigen Code Heuristic/Trojan.PwdStealer Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: Dienstag, 15. Februar 2005 18:11 Benötigte Zeit: 39:28 min 2528 Verzeichnisse wurden durchsucht 53191 Dateien wurden geprüft 19 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Virus bzw. unerwünschtes Programm wurde gefunden ++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++ Logfile of HijackThis v1.99.0: Scan saved at 18:26:33, on 15.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe D:\Programme\FRITZ! DSL\Awatch.exe D:\Programme\FRITZ! DSL\FritzDsl.exe D:\Programme\AV Personal\AVWUPSRV.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe D:\Tools\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\barvs.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\barvs.dll/sp.html#28129 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime 6\qttask.exe" -atboottime O4 - Startup: Fritz!web DSL.lnk = D:\Programme\FRITZ! DSL\FritzDsl.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AV Personal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AV Personal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\crin32.exe (file missing) Dieser Beitrag wurde am 15.02.2005 um 18:28 Uhr von AlphawolfWMP editiert.
|
|
|
||
15.02.2005, 19:30
...neu hier
Beiträge: 5 |
#65
Sabina ich hab die editor datei gepostet :
PsService v1.1 - local and remote services viewer/controller Copyright (C) 2001-2003 Mark Russinovich Sysinternals - www.sysinternals.com SERVICE_NAME: %AF夶À¨ (null) TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\d3jw32.exe /s LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Network Security Service (NSS) DEPENDENCIES : SERVICE_START_NAME: LocalSystem mfg ecLie Dieser Beitrag wurde am 16.02.2005 um 11:11 Uhr von Sabina editiert.
|
|
|
||
16.02.2005, 11:07
Ehrenmitglied
Beiträge: 29434 |
#66
Hallo@ecLie
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (aktiviere sie dann wieder) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {65424A8F-4E15-3395-EB24-27E676B5BB58} - C:\WINDOWS\d3yq32.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O4 - HKLM\..\Run: [d3hn32.exe] C:\WINDOWS\system32\d3hn32.exe O4 - HKLM\..\RunOnce: [ntwo32.exe] C:\WINDOWS\ntwo32.exe O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\d3jw32.exe (file missing) PC neustarten Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: %AF夶À¨ Press 'OK' warten, bis die Suche beendet ist. kopiere rein: Network Security Service Press 'OK' warten, bis die Suche beendet ist. KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot C:\WINDOWS\d3jw32.exe C:\WINDOWS\ntwo32.exe C:\WINDOWS\system32\d3hn32.exe C:\WINDOWS\system32\lilbc.dll und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". PC neustarten #Start<Ausfuehren --> %temp% loesche alle *temp-Datein, die du findest eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> loesche alle infected-Dateien mit der Killbox oder manuell #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html Click "Fix ->" Log-->"make Report" --> posten + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.02.2005 um 11:30 Uhr von Sabina editiert.
|
|
|
||
16.02.2005, 11:21
Ehrenmitglied
Beiträge: 29434 |
#67
Hallo@AlphawolfWMP
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (aktiviere sie dann wieder) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\barvs.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\barvs.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\barvs.dll/sp.html#28129 O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\crin32.exe (file missing) pc neustarten Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: %AF夶À¨ Press 'OK' warten, bis die Suche beendet ist.(Ergebnis bitte posten) kopiere rein: Remote Procedure Call (RPC) Helper Press 'OK' warten, bis die Suche beendet ist.(Ergebnis bitte posten) kopiere rein: Remote Procedure Call Press 'OK' warten, bis die Suche beendet ist.(Ergebnis bitte posten) KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot C:\WINDOWS\system32\crin32.exe C:\WINDOWS\barvs.dll und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". PC neustarten eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> dann die infected-Datein loeschen (mit der Killbox oder manuell) #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html Click "Fix ->" Log-->"make Report" --> posten + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.02.2005 um 11:29 Uhr von Sabina editiert.
|
|
|
||
16.02.2005, 20:37
...neu hier
Beiträge: 5 |
#68
hi sabina hier des highjack un der anner müll :
**** Run Keys **** RUN: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray RUN: [Logitech Utility] Logi_MwX.Exe RUN: [DAEMON Tools-1033] "C:\D-Tools\daemon.exe" -lang 1033 RUN: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" RUN: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" RUN: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe RUN: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe RUN: [zBrowser Launcher] C:\Logitech\iTouch\iTouch.exe RUN: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe RUN: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe RUN: [InCD] C:\Ahead\InCD\InCD.exe RUN: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe RUN: [BootSkin Startup Jobs] "C:\BootSkin\BootSkin.exe" /StartupJobs RUN: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize RUN: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime RUN: [iTunesHelper] C:\iTunes\iTunesHelper.exe RUN: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min RUN: [PopUpStopperFreeEdition] "C:\POP-UP~1\PSFree.exe" RUN: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background RUN: [Steam] "c:\steam\steam.exe" -silent RUN: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe RUN: [a-squared] "C:\a2\a2guard.exe" **** Browser Helper Objects **** BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll **** IE Toolbars **** TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx **** IE Extensions **** IEExt: [ICQ Pro] C:\PROGRA~1\ICQ\ICQ.exe IEExt: [Recherchieren] C:\PROGRA~1\ICQ\ICQ.exe IEExt: [ICQ Lite] C:\ICQLite\ICQLite.exe **** Hosts File Entries **** **** IE Settings **** Default Page: http://www.1und1.de/Herzlich_Willkommen/b1/ Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Local Page: C:\WINDOWS\system32\blank.htm Search Bar: res://C:\WINDOWS\lbjge.dll/sp.html#10001 Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch **** IE Context Menu (Right click) **** IEContext: [Nach Microsoft &Excel exportieren] res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000 **** Layered Service Providers **** LSP: Xfire_LSP MSAFD Tcpip [TCP/IP] LSP: Xfire_LSP MSAFD Tcpip [UDP/IP] LSP: Xfire_LSP RSVP UDP Service Provider LSP: Xfire_LSP RSVP TCP Service Provider LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD nwlnkipx [IPX] LSP: MSAFD nwlnkspx [SPX] LSP: MSAFD nwlnkspx [SPX] [Pseudo Stream] LSP: MSAFD nwlnkspx [SPX II] LSP: MSAFD nwlnkspx [SPX II] [Pseudo Stream] LSP: MSAFD Tcpip [TCP/IPv6] LSP: MSAFD Tcpip [UDP/IPv6] LSP: MSAFD NetBIOS [\Device\NwlnkNb] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NwlnkNb] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip6_{C70598DC-FDA4-43A1-B3A0-1845715E4FF9}] SEQPACKET 6 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip6_{C70598DC-FDA4-43A1-B3A0-1845715E4FF9}] DATAGRAM 6 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip6_{1ACCF017-C2E3-4CE8-A7A2-4D6741833F20}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip6_{1ACCF017-C2E3-4CE8-A7A2-4D6741833F20}] DATAGRAM 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip6_{27854D2E-910D-493E-A305-239DAB988C85}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip6_{27854D2E-910D-493E-A305-239DAB988C85}] DATAGRAM 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C70598DC-FDA4-43A1-B3A0-1845715E4FF9}] SEQPACKET 7 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C70598DC-FDA4-43A1-B3A0-1845715E4FF9}] DATAGRAM 7 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{27854D2E-910D-493E-A305-239DAB988C85}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{27854D2E-910D-493E-A305-239DAB988C85}] DATAGRAM 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E428D065-7286-469A-806C-F13103DCC318}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E428D065-7286-469A-806C-F13103DCC318}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{91FFF598-B6FE-48ED-A01F-5DC793A0339A}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{91FFF598-B6FE-48ED-A01F-5DC793A0339A}] DATAGRAM 2 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** DirectAnimation Java Classes [file://C:\WINDOWS\Java\classes\dajava.cab] Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso.cab] {166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab] {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} [http://playroom.icq.com/odyssey_web11.cab] {D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab] {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} [http://xtraz.icq.com/xtraz/activex/MISBH.cab] C:\WINDOWS\Downloaded Program Files\MISBH.dll **** Windows Services **** [6to4] %SystemRoot%\System32\svchost.exe -k netsvcs [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AntiVirService] C:\AVPersonal\AVGUARD.EXE [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe [ATI Smart] C:\WINDOWS\system32\ati2sgag.exe [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [AVWUpSrv] "C:\AVPersonal\AVWUPSRV.EXE" [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [CiSvc] %SystemRoot%\system32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [ImapiService] C:\WINDOWS\System32\imapi.exe [iPodService] C:\Programme\iPod\bin\iPodService.exe [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [MDM] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE" [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [NWCWorkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [ose] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [PlugPlay] %SystemRoot%\system32\services.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SCardDrv] %SystemRoot%\System32\SCardSvr.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [SoundMAX Agent Service (default)] C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{C93E59C1-88C7-499F-AF6C-8AD7B886A753} [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TlntSvr] C:\WINDOWS\System32\tlntsvr.exe [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [UMWdf] C:\WINDOWS\System32\wdfmgr.exe [uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [usprserv] %SystemRoot%\System32\svchost.exe -k netsvcs [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs [Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %systemroot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [SearchAssistant] res://C:\WINDOWS\lbjge.dll/sp.html#10001 SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm **** Complete IE Options **** IEOPT: [NoUpdateCheck] IEOPT: [NoJITSetup] IEOPT: [Disable Script Debugger] yes IEOPT: [Show_ChannelBand] No IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Display Inline Images] yes IEOPT: [Do404Search] IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [Start Page] http://www.web.de/ IEOPT: [Use_DlgBox_Colors] yes IEOPT: [FullScreen] no IEOPT: [Window_Placement] , IEOPT: [NotifyDownloadComplete] no IEOPT: [Window Title] Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG IEOPT: [Use FormSuggest] yes IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [AddToFavoritesExpanded] IEOPT: [FormSuggest PW Ask] no IEOPT: [Default_Search_URL] http://ie.search.msn.com IEOPT: [Force Offscreen Composition] IEOPT: [ShowGoButton] yes IEOPT: [NoWebJITSetup] IEOPT: [Friendly http errors] yes IEOPT: [FavIntelliMenus] no IEOPT: [NscSingleExpand] IEOPT: [SmoothScroll] IEOPT: [Page_Transitions] IEOPT: [AllowWindowReuse] IEOPT: [UseThemes] IEOPT: [Print_Background] no IEOPT: [Expand Alt Text] no IEOPT: [Move System Caret] no IEOPT: [Play_Animations] yes IEOPT: [Enable AutoImageResize] yes IEOPT: [Enable_MyPics_Hoverbar] yes IEOPT: [Show image placeholders] IEOPT: [Play_Background_Sounds] yes IEOPT: [Display Inline Videos] yes IEOPT: [Use Search Asst] no IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Bar] res://C:\WINDOWS\lbjge.dll/sp.html#10001 IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] %SystemRoot%\system32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] about:blank IEOPT: [Wizard_Version] 6.00.2800.1106 IEOPT: [FullScreen] no IEOPT: [Use Search Asst] no IEOPT: [Default_Page_URL] http://www.1und1.de/Herzlich_Willkommen/b1/ IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Bar] res://C:\WINDOWS\lbjge.dll/sp.html#10001 Logfile of HijackThis v1.99.1 Scan saved at 20:37:05, on 16.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\AVPersonal\AVGUARD.EXE C:\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\wdfmgr.exe C:\Stardock\WindowBlinds\wbload.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\D-Tools\daemon.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Logitech\iTouch\iTouch.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Ahead\InCD\InCD.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\iTunes\iTunesHelper.exe C:\AVPersonal\AVGNT.EXE C:\POP-UP~1\PSFree.exe C:\Programme\Messenger\msmsgs.exe C:\steam\steam.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\a2\a2guard.exe C:\WINDOWS\System32\svchost.exe C:\Teamspeak2_RC2\TeamSpeak.exe C:\Cheating-Death\cdeath.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\cwshredder.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lbjge.dll/sp.html#10001 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lbjge.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lbjge.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] "c:\steam\steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [a-squared] "C:\a2\a2guard.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CB636849-B5BF-4BCF-B636-BA1DD53CBEEA} - C:\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CB636849-B5BF-4BCF-B636-BA1DD53CBEEA} - C:\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Florian O17 - HKLM\Software\..\Telephony: DomainName = Florian O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Florian O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Florian O20 - Winlogon Notify: WB - C:\Stardock\WINDOW~1\fastload.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe mfg und THX ecLie |
|
|
||
16.02.2005, 21:25
Ehrenmitglied
Beiträge: 29434 |
#69
Hallo@ecLie
Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lbjge.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lbjge.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lbjge.dll/sp.html#10001 R3 - Default URLSearchHook is missing O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe PC neustarten loesche mit der Killbox: C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\WINDOWS\lbjge.dll PC neustarten eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.02.2005 um 21:26 Uhr von Sabina editiert.
|
|
|
||
16.02.2005, 23:19
...neu hier
Beiträge: 10 |
#70
Hi Sabina!
Hier die geforderten Logs. ++ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "%AF夶À¨" 16.02.2005 20:25:13 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000] "Service"="%AF夶À¨" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000] "Service"="%AF夶À¨" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\%AF夶À¨] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\%AF夶À¨\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000] "Service"="%AF夶À¨" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨\Enum] +++++++++++++++++++++++++++++++++++++++++ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Remote Procedure Call (RPC) Helper" 16.02.2005 20:27:19 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨] "DisplayName"="Remote Procedure Call (RPC) Helper" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\%AF夶À¨] "DisplayName"="Remote Procedure Call (RPC) Helper" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨] "DisplayName"="Remote Procedure Call (RPC) Helper" +++++++++++++++++++++++++++++++++++++++++ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Remote Procedure Call" 16.02.2005 20:28:50 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨] "DisplayName"="Remote Procedure Call (RPC) Helper" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\%AF夶À¨] "DisplayName"="Remote Procedure Call (RPC) Helper" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨] "DisplayName"="Remote Procedure Call (RPC) Helper" +++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++ CWShredder 2.12 Log: **** Run Keys **** RUN: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe RUN: [C-Media Mixer] Mixer.exe /startup RUN: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe" RUN: [QuickTime Task] "D:\Programme\QuickTime 6\qttask.exe" -atboottime RUN: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe **** Browser Helper Objects **** BHO: [AcroIEHlprObj Class] D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll BHO: [AcroIEHlprObj Class] D:\Programme\Spybot - Search & Destroy\SDHelper.dll BHO: [Google Toolbar Helper] c:\programme\google\googletoolbar2.dll BHO: [ToolHelper Class] C:\WINDOWS\DOWNLO~1\CONFLICT.1\webdetb.dll **** IE Toolbars **** TOOLBAR: [&Google] c:\programme\google\googletoolbar2.dll TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx TOOLBAR: [WEB.DE Internet Explorer Toolbar] C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdetb.dll **** IE Extensions **** IEExt: [] IEExt: [AIM] D:\Programme\AIM\aim.exe IEExt: [ICQ 4.1] D:\Programme\ICQ Lite\ICQLite.exe IEExt: [Messenger] C:\Programme\Messenger\MSMSGS.EXE **** Hosts File Entries **** **** IE Settings **** Local Page: C:\WINDOWS\system32\blank.htm **** IE Context Menu (Right click) **** IEContext: [&Google Search] res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html IEContext: [Download with GetRight] D:\Tools\GetRight\GRdownload.htm IEContext: [Google AdSense Preview Tool] http://pagead2.googlesyndication.com/pagead/preview/en/preview.html IEContext: [Im Cache gespeicherte Seite] res://c:\programme\google\GoogleToolbar2.dll/cmcache.html IEContext: [Open with GetRight Browser] D:\Tools\GetRight\GRbrowse.htm IEContext: [Verweisseiten] res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html IEContext: [Ähnliche Seiten] res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html **** Layered Service Providers **** LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D10B11B-F296-4880-BB80-A5F70B84DB02}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D10B11B-F296-4880-BB80-A5F70B84DB02}] DATAGRAM 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0797C682-31EA-47C2-B116-BE0A206ACD3A}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0797C682-31EA-47C2-B116-BE0A206ACD3A}] DATAGRAM 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A07600B4-226C-4C1E-B471-61D8E7D4C030}] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A07600B4-226C-4C1E-B471-61D8E7D4C030}] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B644E85-E0F9-4593-8C24-81F7DB580D68}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{4B644E85-E0F9-4593-8C24-81F7DB580D68}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{94410781-1350-4637-8A6E-9C5CB96A0152}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{94410781-1350-4637-8A6E-9C5CB96A0152}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB4D98F3-40F1-4019-9884-EC5F1E578DCC}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CB4D98F3-40F1-4019-9884-EC5F1E578DCC}] DATAGRAM 3 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** {166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab] {62475759-9E84-458E-A1AB-5D2C442ADFDE} [http://a1540.g.akamai.net/7/1540/52/20041120/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe] {88D969C0-F192-11D4-A65F-0040963251E5} [http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab] C:\WINDOWS\System32\msxml4a.dll C:\WINDOWS\System32\msxml4r.dll C:\WINDOWS\System32\msxml4.dll {8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab] {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} [http://messenger.msn.com/download/msnmessengersetupdownloader.cab] {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab] {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab] {DFE1AC3A-9EE0-434A-8217-9532CABEE7E8} [http://download.smartsurfer.web.de/toolbar/webdetb.cab] C:\WINDOWS\Downloaded Program Files\CONFLICT.1\footerpopup.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\header.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\headerpopup.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\icons.bmp C:\WINDOWS\Downloaded Program Files\CONFLICT.1\licence.html C:\WINDOWS\Downloaded Program Files\CONFLICT.1\options.html C:\WINDOWS\Downloaded Program Files\CONFLICT.1\p.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\web_logo.bmp C:\WINDOWS\Downloaded Program Files\CONFLICT.1\version.txt C:\WINDOWS\Downloaded Program Files\CONFLICT.1\basis.xml C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdetb.dll **** Windows Services **** [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AntiVirService] D:\Programme\AV Personal\AVGUARD.EXE [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [aspnet_state] %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [Ati HotKey Poller] %SystemRoot%\System32\Ati2evxx.exe [ATI Smart] C:\WINDOWS\system32\ati2sgag.exe [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [AVWUpSrv] "D:\Programme\AV Personal\AVWUPSRV.EXE" [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [cisvc] C:\WINDOWS\System32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [de_serv] C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [HTTPFilter] %SystemRoot%\System32\svchost.exe -k HTTPFilter [ImapiService] C:\WINDOWS\System32\imapi.exe [Iprip] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [LPDSVC] %SystemRoot%\System32\tcpsvcs.exe [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [PlugPlay] %SystemRoot%\system32\services.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [SimpTcp] %SystemRoot%\System32\tcpsvcs.exe [SNMP] %SystemRoot%\System32\snmp.exe [SNMPTRAP] %SystemRoot%\System32\snmptrap.exe [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{A34D5B9D-EFC3-44BA-A086-A325A4CDB4C3} [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TlntSvr] C:\WINDOWS\System32\tlntsvr.exe [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [UMWdf] C:\WINDOWS\System32\wdfmgr.exe [uploadmgr] %SystemRoot%\System32\svchost.exe -k netsvcs [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs [Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm **** Complete IE Options **** IEOPT: [Show_ChannelBand] No IEOPT: [Local Page] C:\WINDOWS\system32\blank.htm IEOPT: [AddToFavoritesExpanded] IEOPT: [AllowWindowReuse] IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Check_Associations] yes IEOPT: [Disable Script Debugger] yes IEOPT: [Display Inline Images] yes IEOPT: [Display Inline Videos] yes IEOPT: [Do404Search] IEOPT: [Enable AutoImageResize] yes IEOPT: [Enable_MyPics_Hoverbar] yes IEOPT: [Error Dlg Details Pane Open] yes IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [Expand Alt Text] no IEOPT: [FavChevron] NO IEOPT: [FavIntelliMenus] yes IEOPT: [FavoritesExportFile] C:\Dokumente und Einstellungen\All Users\Dokumente\bookmark.htm IEOPT: [FavoritesImportFolder] C:\Dokumente und Einstellungen\Web Production Unit\Favoriten IEOPT: [Force Offscreen Composition] IEOPT: [FormSuggest Passwords] yes IEOPT: [FormSuggest PW Ask] no IEOPT: [Friendly http errors] yes IEOPT: [FullScreen] no IEOPT: [HistoryViewType] IEOPT: [Move System Caret] no IEOPT: [NoJITSetup] IEOPT: [NotifyDownloadComplete] no IEOPT: [NoUpdateCheck] IEOPT: [NoWebJITSetup] IEOPT: [NscSingleExpand] IEOPT: [Page_Transitions] IEOPT: [Play_Animations] yes IEOPT: [Play_Background_Sounds] yes IEOPT: [Print_Background] no IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show image placeholders] IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [ShowGoButton] yes IEOPT: [SmoothScroll] IEOPT: [Start Page] file:///H:/www.schloebe.de/intro.htm IEOPT: [Use FormSuggest] yes IEOPT: [Use Search Asst] no IEOPT: [Use_DlgBox_Colors] yes IEOPT: [UseThemes] IEOPT: [Window_Placement] , IEOPT: [Save Directory] C:\Dokumente und Einstellungen\Web Production Unit\Desktop\ IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] %SystemRoot%\system32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] about:blank IEOPT: [CompanyName] Microsoft Corporation IEOPT: [Custom_Key] MICROSO IEOPT: [Wizard_Version] 6.0.2600.0000 IEOPT: [FullScreen] no IEOPT: [Check_Associations] yes IEOPT: [Use Search Asst] no +++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++ Logfile of HijackThis v1.99.0 Scan saved at 23:16:52, on 16.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AV Personal\AVWUPSRV.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Mixer.exe D:\Programme\FRITZ! DSL\Awatch.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\FRITZ! DSL\FritzDsl.exe D:\Tools\STP MP3 Player\STP.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe C:\WINDOWS\explorer.exe D:\Tools\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///H:/www.schloebe.de/intro.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AWatch] "D:\Programme\FRITZ! DSL\Awatch.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime 6\qttask.exe" -atboottime O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Fritz!web DSL.lnk = D:\Programme\FRITZ! DSL\FritzDsl.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ Lite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {DFE1AC3A-9EE0-434A-8217-9532CABEE7E8} - http://download.smartsurfer.web.de/toolbar/webdetb.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AV Personal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AV Personal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe |
|
|
||
16.02.2005, 23:25
Ehrenmitglied
Beiträge: 29434 |
#71
Hallo@AlphawolfWMP
Ich bezweifel, dass das was "sauberes" ist.-->AdWare.ToolBar.SearchIt.c" O16 - DPF: {DFE1AC3A-9EE0-434A-8217-9532CABEE7E8} - http://download.smartsurfer.web.de/toolbar/webdetb.cab Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren {DFE1AC3A-9EE0-434A-8217-9532CABEE7E8} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) loesche mit der Killbox: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdetb.dll C:\WINDOWS\Downloaded Program Files\CONFLICT.1\web_logo.bmp Ansonsten ist alles in Ordnung ___________________________________________________________ #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.02.2005 um 23:39 Uhr von Sabina editiert.
|
|
|
||
16.02.2005, 23:28
...neu hier
Beiträge: 10 |
#72
Hallo Sabina. Du bist ein Engel, wenn ich das mal so sagen darf. Danke für deine kompetente Hilfe!!
http://download.smartsurfer.web.de/toolbar/webdetb.cab Das ist die WEB.DE Toolbar. Brauchen sicherlich nicht, ging nur schneller. *faulbin* Werde sie aber löschen. Danke vielmals nochmal! Wenn ich im Gegenzug etwas tun kann, gerne. LG Oli ++++++++++++++++++++ Hier noch das gewünschte Log: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" 16.02.2005 23:31:45 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/about.html] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/about.html] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/basis.xml] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/basis.xml] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/error.html] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/error.html] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/footerpopup.gif] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/footerpopup.gif] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/header.gif] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/header.gif] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/headerpopup.gif] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/headerpopup.gif] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/icons.bmp] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/icons.bmp] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/licence.html] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/licence.html] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/options.html] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/options.html] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/p.gif] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/p.gif] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/toolbar.crc] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/toolbar.crc] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/version.txt] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/version.txt] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/webdetb.dll] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/webdetb.dll] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/web_logo.bmp] ".Owner"="{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/CONFLICT.1/web_logo.bmp] "{DFE1AC3A-9EE0-434A-8217-9532CABEE7E8}"="" Dieser Beitrag wurde am 16.02.2005 um 23:32 Uhr von AlphawolfWMP editiert.
|
|
|
||
16.02.2005, 23:36
Ehrenmitglied
Beiträge: 29434 |
#73
Hallo@AlphawolfWMP
Loesche mit der Killbox: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdetb.dll C:\WINDOWS\Downloaded Program Files\CONFLICT.1\web_logo.bmp C:\WINDOWS\Downloaded Program Files\CONFLICT.1\about.html C:\WINDOWS\Downloaded Program Files\CONFLICT.1\basis.xml C:\WINDOWS\Downloaded Program Files\CONFLICT.1\error.html C:\WINDOWS\Downloaded Program Files\CONFLICT.1\footerpopup.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\header.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\headerpopup.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\icons.bmp C:\WINDOWS\Downloaded Program Files\CONFLICT.1\licence.html C:\WINDOWS\Downloaded Program Files\CONFLICT.1\options.html C:\WINDOWS\Downloaded Program Files\CONFLICT.1\p.gif C:\WINDOWS\Downloaded Program Files\CONFLICT.1\toolbar.crc C:\WINDOWS\Downloaded Program Files\CONFLICT.1\version.txt C:\WINDOWS\Downloaded Program Files\CONFLICT.1\webdetb.dll C:\WINDOWS\Downloaded Program Files\CONFLICT.1\web_logo.bmp Wende das Tool an--> Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen http://www.firewallleaktester.com/wwdc.htm #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.02.2005 um 00:11 Uhr von Sabina editiert.
|
|
|
||
16.02.2005, 23:41
...neu hier
Beiträge: 10 |
#74
Okay, hab jetzt die Seite geöffnet, finde dort allerdings kein Tool...
Nur die Nachricht, dass die 'NeuLaden'-Funktion des Browsers zeitweise deaktiviert wurde und sie wieder aktiviert wird, wenn ich die Seite verlasse. War es das oder hat man(n) was falsch gemacht? LG Oli |
|
|
||
16.02.2005, 23:46
Ehrenmitglied
Beiträge: 29434 |
#75
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm Die meisten der Würmer, im Besonderen aber die die am bekanntesten sind, nutzen bekannte Verwundbarkeiten bei Windowsdiensten die standardmäßig eingestellt sind und nicht ohne weiteres über die Betriebssystemeinstellungen deaktiviert werden können. Selbst wenn diese Dienste durch Microsoft Sicherheitskorrekturen behoben werden, im Allgemeinen sind sie trotzdem dem Internet ausgesetzt, bereit um vom nächsten exploit ausgenutzt zu werden. Diese Ports/Services von der Client Seite aus sind: * DCOM RPC (listen bin mir der Deutung nicht ganz sicher) auf Port 135) MS03-026 * RPC Lokalisierer (port 445) MS03-001, MS04-011 * NetBIOS (ports 137/138/139) MS03-049 * UPNP (port 5000) MS01-059 * Messenger Dienst (nutzt RPC/NetBIOS ports) MS03-043 Ein Beispiel von Ports/Diensten von Seiten des Servers: * WebDAV auf IIS Server (Port 80) MS03-007 * SQL Server 2000 (Port 1434) MS02-061 Dienste von der Seite der Server werden nicht durch die Windows gedeckt, da dies gezielt auf Heim PC Nutzer orientiert ist, welche wiederum selber keine Server laufen lassen sollten. Diese Webserver sollten gepatched werden und können nicht wirklich deaktiviert werden ohne den Dienst aus dem Internet zu entfernen (wie Webseiten). Alle der o. g. Verwundbarkeiten werden heutzutage von vielen der Würmer genutzt, da es ein sehr schneller und effektiver Weg zur Infektion eines Computers ist. Ohne dass ein Nutzer einen Anhang anklickt oder nicht, sind es direkte Netzwerkattacken die nur durch Firewalls verhindert werden können. Da aber alle diese verwundbaren Dienste standardmäßig aktiviert sind und oft sogar nicht über den Betriebssystem Dienstemanager abgestellt werden können und zudem nicht alle eine Firewall nutzen (gerade bei einer Neuinstallation des Betriebssystems wenn Sie versuchen ohne eine Firewall sich in das Internet einzuwählen oder ähnlichem), sind diese Rechner besonders beliebte Ziele für Würmer , da sie hier mehr Möglichkeiten haben jemanden zusätzlich zu der traditionellen Infektion per Emailanhang, zu treffen. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.02.2005 um 23:46 Uhr von Sabina editiert.
|
|
|
||
Logfile of HijackThis v1.99.0
Scan saved at 22:25:30, on 14.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Stardock\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\AVPersonal\AVGUARD.EXE
C:\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\ntwo32.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\D-Tools\daemon.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Ahead\InCD\InCD.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\d3hn32.exe
C:\AVPersonal\AVGNT.EXE
C:\POP-UP~1\PSFree.exe
C:\Programme\Messenger\msmsgs.exe
C:\steam\steam.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\a2\a2guard.exe
C:\WINDOWS\System32\wuauclt.exe
C:\CSE Demoplayer\Demoplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lilbc.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {65424A8F-4E15-3395-EB24-27E676B5BB58} - C:\WINDOWS\d3yq32.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [d3hn32.exe] C:\WINDOWS\system32\d3hn32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [ntwo32.exe] C:\WINDOWS\ntwo32.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CB636849-B5BF-4BCF-B636-BA1DD53CBEEA} - C:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CB636849-B5BF-4BCF-B636-BA1DD53CBEEA} - C:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Florian
O17 - HKLM\Software\..\Telephony: DomainName = Florian
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Florian
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Florian
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\d3jw32.exe (file missing)