TR\LEFEAT.DLL1 wie entfernen?

#0
08.02.2005, 12:57
...neu hier

Beiträge: 8
#1 Hallo Zusammen..
ich kämpfe jetzt seit ein paar Tagen mit Trojanern und diesem blöden Virus TR/Lefeat.DLL1 .
Mein Nortan Antivirus versagt total... erkennt gar nichts. Erst Antivir vers 6 endeckt den Übeltäter aber anscheinend nicht komplett, denn ständig wenn ich den Iexplorer starte kommt eine Meldung das der Virus irgendwo im Windowsverzeichnis wuselt. ständiges löschen hilft gar nichts.
habe nun versucht mittels des Forums mir anhand der Anfragen von "Leidensgenossen" und den Tipos vo sabine zu helfen.Die Mysearch site scheine ich los zu sein- Google ist wieder Startseite..
Hab hijack geladen und die deutsche Beschreibung.. aber auch ein paar "fixes"ausprobiert habe ich wohl nicht richtig oder ausreichend gemacht.
Hilfe ich brauche wohl jemand der mir dabei Händchen hält..
Toll ich dachte ich hätte etwas Ahnung... Respekt wer da durchschaut!

Ich bedanke mich im Voraus

anbei Poste ich die Hijackliste in der Hoffnung auf Hilfe und Anleitung.
Logfile of HijackThis v1.99.0
Scan saved at 12:49:29, on 08.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\CRKQ32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\WINDOWS\SYSTEM\ADDVM32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {0877460F-BA5D-5905-21F8-146FA9AD0E2F} - C:\WINDOWS\SYSTEM\ATLLU32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings
O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE /startup
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [ADDVM32.EXE] C:\WINDOWS\SYSTEM\ADDVM32.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [CRKQ32.EXE] C:\WINDOWS\CRKQ32.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252
Seitenanfang Seitenende
08.02.2005, 13:24
Member

Beiträge: 29
#2 fixe folgendes:

R3 - Default URLSearchHook is missing

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.static.topconverting.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: 206.161.125.149 (HKLM)


viel glück:o)
Seitenanfang Seitenende
08.02.2005, 13:45
...neu hier

Themenstarter

Beiträge: 8
#3 Danke loolia
So das hab ich nun gemacht.
Jetzt hat der IE aber die Seite about:blank...

aber jetzt meldet sich gerade kein virus...
reicht das fixing aus?
kein einsatz von adware spybot oder irgendwelchen killboxen im abgesicherten modus?


Logfile of HijackThis v1.99.0
Scan saved at 13:47:33, on 08.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\CRKQ32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\WINDOWS\SYSTEM\ADDVM32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {0877460F-BA5D-5905-21F8-146FA9AD0E2F} - C:\WINDOWS\SYSTEM\ATLLU32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings
O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE /startup
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [ADDVM32.EXE] C:\WINDOWS\SYSTEM\ADDVM32.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [CRKQ32.EXE] C:\WINDOWS\CRKQ32.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252
Seitenanfang Seitenende
08.02.2005, 15:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@teasy33

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:
{0877460F-BA5D-5905-21F8-146FA9AD0E2F}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
---------------------------------------------------------------------------------------------
1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"


-----------------------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {0877460F-BA5D-5905-21F8-146FA9AD0E2F} - C:\WINDOWS\SYSTEM\ATLLU32.DLL
O4 - HKLM\..\Run: [ADDVM32.EXE] C:\WINDOWS\SYSTEM\ADDVM32.EXE
O4 - HKLM\..\RunServices: [CRKQ32.EXE] C:\WINDOWS\CRKQ32.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere rein:
C:\WINDOWS\system\cxepf.dll
C:\WINDOWS\SYSTEM\ATLLU32.DLL
C:\WINDOWS\SYSTEM\ADDVM32.EXE
C:\WINDOWS\CRKQ32.EXE

PC neustarten

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)


eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner-->

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

• Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten ;)

die infizierten Dateien kopierst du dann in die Killbox und loeschst sie.

______________________________________________________________________-

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)


#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.02.2005 um 15:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.02.2005, 16:56
...neu hier

Themenstarter

Beiträge: 8
#5 Hallo Sabina
Danke das du mir hilfst..
habe das Reserchtool geladen.. folgende Protokolldatei erhalten.
Ähem ich hab in der Zwischenzeit nochmal auf eigene Faust im Abgesicherten Modus Adware und Spybot suchen lassen. Jeweils Einträge beseit igen lassen und danach das upgedatete E-scan modul gemäß einer Vorgabe aus diesem Forum scannen lassen. 4 gefundene Viren dann mit dem Explorer gelöscht.
Ich hoffe das war richtig

Danach kam deine Hilfe


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{0877460F-BA5D-5905-21F8-146FA9AD0E2F}" 08.02.05 16:55:22

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0877460F-BA5D-5905-21F8-146FA9AD0E2F}"=""

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}\InprocServer32]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}\Data]

[HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}\Data\MD]
Seitenanfang Seitenende
08.02.2005, 18:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@teasy33

wenn alles abgearbeitet ist und du auch die infizierten Datein (vom escan erkannt) geloescht hast), dann poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.02.2005 um 18:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 08:16
...neu hier

Themenstarter

Beiträge: 8
#7 Guten Morgen Sabina
Das war ne lange Sitzung. hab alles durchgeführt.
Der Erste Sacn von Adware hatte viele Treffer. hier das 2. Protokoll...
hab die weiteren Schritte durchgeführt. HAb aber wieder Virusmeldung beim IE Start der alte TR/lefeat DLL1 und eine neuer... TR/Spy.Image


Ad-Aware SE Build 1.05
Logfile Created on;)ienstag, 8. Februar 2005 20:17:52
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R27 05.02.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):23 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


08.02.05 20:17:52 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : .DEFAULT\software\nico mak computing\winzip\filemenu
Description : winzip recently used archives


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\office\8.0\excel\recent file list
Description : list of recent files used by microsoft excel


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\office\10.0\excel\recent files
Description : list of recent files used by microsoft excel


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\office\10.0\powerpoint\recent file list
Description : list of recent files used by microsoft powerpoint


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\office\10.0\common\general
Description : list of recently used symbols in microsoft office


MRU List Object Recognized!
Location: : .DEFAULT\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : .DEFAULT\software\kazaa\search
Description : list of recent searches performed with sharman networks kazaa


MRU List Object Recognized!
Location: : .DEFAULT\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\office\10.0\clip organizer\search\last query
Description : last query in microsoft clip organizer


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\player\recenturllist
Description : list of recently used web addresses in microsoft windows media player


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows\currentversion\explorer\prnportsmru
Description : list of recently used printer ports in the microsoft windows operating system


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [KERNEL32.DLL]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293915669
Threads : 8
Priority : High
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Kernkomponente des Win32-Kernel
InternalName : KERNEL32
LegalCopyright : Copyright (C) Microsoft Corp. 1991-1999
OriginalFilename : KERNEL32.DLL

#:2 [MSGSRV32.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294915177
Threads : 1
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Windows 32-Bit-VxD-Meldungsserver
InternalName : MSGSRV32
LegalCopyright : Copyright (C) Microsoft Corp. 1992-1998
OriginalFilename : MSGSRV32.EXE

#:3 [SPOOL32.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294917201
Threads : 2
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Microsoft(R) Windows(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler Sub System Process
InternalName : spool32
LegalCopyright : Copyright (C) Microsoft Corp. 1994 - 1998
OriginalFilename : spool32.exe

#:4 [MPREXE.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294912673
Threads : 2
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Microsoft(R) Windows(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
LegalCopyright : Copyright (C) Microsoft Corp. 1993-1998
OriginalFilename : MPREXE.EXE

#:5 [NAVAPW32.EXE]
FilePath : C:\PROGRAMME\NORTON ANTIVIRUS\
ProcessID : 4292911973
Threads : 5
Priority : Normal
FileVersion : 5.0.0.26
ProductVersion : 5.0.0.26
ProductName : Norton AntiVirus
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Agent
InternalName : NAVAPW32
LegalCopyright : Copyright (C) Symantec Corporation 1991-1997
OriginalFilename : NAVAPW32.DLL

#:6 [mmtask.tsk]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292887281
Threads : 1
Priority : Normal
FileVersion : 4.03.1998
ProductVersion : 4.03.1998
ProductName : Microsoft Windows
CompanyName : Microsoft Corporation
FileDescription : Multimedia background task support module
InternalName : mmtask.tsk
LegalCopyright : Copyright © Microsoft Corp. 1991-1998
OriginalFilename : mmtask.tsk

#:7 [EXPLORER.EXE]
FilePath : C:\WINDOWS\
ProcessID : 4292982629
Threads : 6
Priority : Normal
FileVersion : 4.72.3110.1
ProductVersion : 4.72.3110.1
ProductName : Betriebssystem Microsoft(R) Windows NT(R)
CompanyName : Microsoft Corporation
FileDescription : Windows-Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1997
OriginalFilename : EXPLORER.EXE

#:8 [SYSTRAY.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4292939129
Threads : 2
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Systemanwendung für Taskleiste
InternalName : SYSTRAY
LegalCopyright : Copyright (C) Microsoft Corp. 1993-1998
OriginalFilename : SYSTRAY.EXE

#:9 [STIMON.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293048405
Threads : 3
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Betriebssystem Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Still Image Devices Monitor
InternalName : STIMON
LegalCopyright : Copyright (C) Microsoft Corp. 1996-1998
OriginalFilename : STIMON.EXE

#:10 [ITOUCH.EXE]
FilePath : C:\PROGRAMME\LOGITECH\ITOUCH\
ProcessID : 4293055989
Threads : 2
Priority : Normal
FileVersion : 2.15.264
ProductVersion : 2.15.264
ProductName : iTouch
CompanyName : Logitech Inc.
FileDescription : iTouch Application
InternalName : iTouch
LegalCopyright : (C) 1998-2002 Logitech. All rights reserved.
LegalTrademarks : Logitech® and iTouch® are registered trademarks of Logitech Inc.
OriginalFilename : iTouch.exe
Comments : Created by the iTouch team

#:11 [LOADQM.EXE]
FilePath : C:\WINDOWS\
ProcessID : 4293031421
Threads : 3
Priority : Normal
FileVersion : 5.4.1103.3
ProductVersion : 5.4.1103.3
ProductName : QMgr Loader
CompanyName : Microsoft Corporation
FileDescription : Microsoft QMgr
InternalName : LOADQM.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : LOADQM.EXE

#:12 [EM_EXEC.EXE]
FilePath : C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\
ProcessID : 4293018977
Threads : 1
Priority : Normal
FileVersion : 9.78.034
ProductVersion : 9.78.034
ProductName : MouseWare
CompanyName : Logitech Inc.
FileDescription : Logitech Events Handler Application
InternalName : Em_Exec
LegalCopyright : (C) 1987-2003 Logitech. All rights reserved.
LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc.
OriginalFilename : Em_Exec.exe
Comments : Created by the MouseWare team

#:13 [BLUEFRITZ.EXE]
FilePath : C:\PROGRAMME\AVMCLIENT\
ProcessID : 4293021625
Threads : 4
Priority : Normal
FileVersion : 2, 3, 37, 0
ProductVersion : 1, 0, 0, 1
ProductName : avm BlueFRITZ
CompanyName : avm
FileDescription : BlueFRITZ
InternalName : BlueFRITZ
LegalCopyright : Copyright © 2004
OriginalFilename : BlueFRITZ.exe

#:14 [AVMBTSERVICE.EXE]
FilePath : C:\PROGRAMME\AVMCLIENT\
ProcessID : 4293064561
Threads : 7
Priority : Normal
FileVersion : 1, 0, 0, 2
ProductVersion : 1, 0, 0, 1
ProductName : AVM AVMBTService
CompanyName : AVM Berlin
InternalName : AVMBTService
LegalCopyright : Copyright © AVM Berlin
OriginalFilename : AVMBTService.exe

#:15 [PANAPP.EXE]
FilePath : C:\PROGRAMME\AVMCLIENT\
ProcessID : 4293059689
Threads : 6
Priority : Normal


#:16 [AVGCTRL.EXE]
FilePath : C:\PROGRAMME\AVPERSONAL\
ProcessID : 4293034153
Threads : 2
Priority : Normal


#:17 [CTMIX32.EXE]
FilePath : C:\SBPCI\
ProcessID : 4293124169
Threads : 1
Priority : Normal
FileVersion : 6.00.5
ProductVersion : 6.00.5
ProductName : Creative Mixer Loader
CompanyName : Creative Technology Ltd.
FileDescription : Creative Mixer Loader
InternalName : Creative Mixer Loader
LegalCopyright : Copyright (c) Creative Technology Ltd 1991-99.
OriginalFilename : CTMXLD32.EXE

#:18 [CTFMON.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293123653
Threads : 1
Priority : Normal
FileVersion : 1.00.2409.7 built by: Lab06_N
ProductVersion : 1.00.2409.7
ProductName : Microsoft(R) Windows NT(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : Cicero Loader
InternalName : CICLOAD
LegalCopyright : Copyright (C) Microsoft Corporation. 1981-2001
OriginalFilename : CICLOAD.EXE

#:19 [WCESCOMM.EXE]
FilePath : C:\PROGRAMME\MICROSOFT ACTIVESYNC\
ProcessID : 4294931393
Threads : 4
Priority : Normal
FileVersion : 3.7.0.3083
ProductVersion : 3.7.3083
ProductName : Microsoft ActiveSync
CompanyName : Microsoft Corporation
FileDescription : Connection Manager
InternalName : wcescomm
LegalCopyright : Copyright © 1995-2003 Microsoft Corp. All rights reserved.
LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation.
OriginalFilename : WCESCOMM.EXE

#:20 [WMIEXE.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4293137893
Threads : 3
Priority : Normal
FileVersion : 5.00.1755.1
ProductVersion : 5.00.1755.1
ProductName : Microsoft(R) Windows NT(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : WMI service exe housing
InternalName : wmiexe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1998
OriginalFilename : wmiexe.exe

#:21 [AD-AWARE.EXE]
FilePath : C:\PROGRAMME\LAVASOFT\AD-AWARE SE PERSONAL\
ProcessID : 4293163181
Threads : 2
Priority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 23


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 23


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 23


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 23



Deep scanning and examining files (c;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for c:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 23


Deep scanning and examining files (d;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for d:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 23


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 23

20:38:22 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:20:29.890
Objects scanned:105398
Objects identified:0
Objects ignored:0
New critical objects:0
Seitenanfang Seitenende
09.02.2005, 11:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ich moechte gern noch die infizierten Dateien vom escan sehen, du musst alles durchfuehren, was ich schreibe und mir immer alles posten, nicht nur, "ich hab den und den Virus"...damit kann ich nichts anfangen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.02.2005, 16:41
...neu hier

Themenstarter

Beiträge: 8
#9 16:41

Hallo Sabina
ich hab den E-scan nochmal laufen lassen- im abgesicherten Modus da sich der PC im Normalmodus augehängt hat. Erkannte viren im beigefügten Posting. hab die gemeldeten Files mit der Killbox gelöscht.

File C:\WINDOWS\SYSTEM\IPIM.EXE infected by "Trojan-Downloader.Win32.Small.ajr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\CRBY.EXE infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\D3B2.TMP infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\D3B2.TMP infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Twain_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\!Submit\ipko.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
File D:\Safe von Festplatte c am 01012003\Programme\PC-Linq\Uninstall.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Safe von Festplatte c am 01012003\Programme\PC-Linq\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Zip Archive\Setupdownloads\notepad.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Zip Archive\Setupdownloads\Yph\ymsgrie.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Zip Archive\Setupdownloads\Yph\ymsgriede.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Zip Archive\Setupdownloads\Yph\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

hier das eben durchgeführte Hijack posting:
Logfile of HijackThis v1.99.0
Scan saved at 16:43:00, on 09.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252


ist die kiste jetzt sauber?

LG
Teasy33
Dieser Beitrag wurde am 09.02.2005 um 17:41 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 17:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Heute, 08:22

Guten morgten Sabina.
Kann nicht zweimal antworten auf mein "thread".. deswegen das aktuelle Hijacklog direkt zu dir


Logfile of HijackThis v1.99.0
Scan saved at 08:21:12, on 09.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\IPKO.EXE
C:\WINDOWS\SYSTEM\IPIM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {D909FA9D-7AE6-6B2A-B820-22D8EBB261F2} - C:\WINDOWS\ATLGL.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [IPIM.EXE] C:\WINDOWS\SYSTEM\IPIM.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [IPME32.EXE] C:\WINDOWS\SYSTEM\IPME32.EXE
O4 - HKLM\..\RunServices: [IPKO.EXE] C:\WINDOWS\IPKO.EXE

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252


Backdoor.Win32.Small.dc
:\WINDOWS\SYSTEM\IPME32.EXE
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 17:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 17:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11

Zitat

teasy33

ich weiss nun nicht, welches der Logs das aktuelle ist ???????????????????
Poste deshalb noch mal das aktuellste HijackTHis, so wie es im Moment ist

scanne noch mal mit escan und ueberpruefe, ob alles sauber ist.(Tool.Win32.Reboot sind keine Viren, kannst du lassen)

suche eine : kb.txt (von der Killbox)--> muesste in den temporaeren Dateien sein
Poste mir bitte diese Textdatei.

__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 17:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.02.2005, 17:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {D909FA9D-7AE6-6B2A-B820-22D8EBB261F2} - C:\WINDOWS\ATLGL.DLL
O4 - HKLM\..\Run: [IPIM.EXE] C:\WINDOWS\SYSTEM\IPIM.EXE
O4 - HKLM\..\RunServices: [IPME32.EXE] C:\WINDOWS\SYSTEM\IPME32.EXE
O4 - HKLM\..\RunServices: [IPKO.EXE] C:\WINDOWS\IPKO.EXE

PC neustarten

loesche;)mit der Killbox)
C:\WINDOWS\ATLGL.DLL
C:\WINDOWS\SYSTEM\CRBY.EXE
C:\WINDOWS\sjcgc.dll
C:\WINDOWS\SYSTEM\IPIM.EXE
C:\WINDOWS\SYSTEM\IPME32.EXE
C:\WINDOWS\IPKO.EXE
C:\WINDOWS\TEMP\D3B2.TMP
C:\WINDOWS\TEMP\D3B2.TMP

PC neustarten

ueberpruefe , ob das geloescht ist:
C:\WINDOWS\TEMP\D3B2.TMP

#a² free
http://www.emsisoft.de/de/software/download/
http://www.emsisoft.de/de/software/free/

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.02.2005 um 17:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
10.02.2005, 01:33
...neu hier

Beiträge: 10
#13 Das Wichtigste zuerst.
Ich hab keine Ahnung von Computer!!!

Seit gestern nerven mich regelmäßig auftretende Popup Fenster, trotz
Ad-aware, außerdem sagt mein Anti-Vir XP: su hast ein trojanisches Pferd auf dem Rechner, es heißt: TR\LEFEAT.DLL1.
davon mal abgesehen, dass das ein recht ungewöhnlicher Name für ein Pferd ist hab ich ein bisschen Schiss, das hier was unkontrollierbares am Start ist.

Hab auch schon hijack this drüberlaufen lassen, file schaut so aus:

Logfile of HijackThis v1.99.0
Scan saved at 01:21:35, on 10.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\addmp32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CpuIdle\cpuidle.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\crpi.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {324C7B28-F8EB-05C3-47CF-680DDABE2D8D} - C:\WINDOWS\ipdn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [crpi.exe] C:\WINDOWS\system32\crpi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D12945-146E-49C1-BD7B-8E4F528D1D9A}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\addmp32.exe

Wer von Euch kann mir weiter helfen?
Mit der Bitte um eine einfache Erklärung, Danke schön!!!
Seitenanfang Seitenende
10.02.2005, 08:19
...neu hier

Themenstarter

Beiträge: 8
#14 Guten morgen sabina
ich glaube wir haben es geschafft.
auf %temp% erscheitn beim ausführen nur das fenster mit dem Temp-Verzeichnis. eine Datei Kbt.txt ist nicht vorhanden.
anbei Hijack-log von heute früh.
LG
Teasy33


Logfile of HijackThis v1.99.0
Scan saved at 08:20:00, on 10.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\RunServices: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunServices: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252
Seitenanfang Seitenende
10.02.2005, 10:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@teasy33

Ja, diesmal scheint es o.k.
Ueberpruefe bitte dein Log vom HijackThis ab und zu, und wenn die dll im Browser wieder erscheinen, komme ins Forum ;)

Surfe nicht mehr mit dem IE

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende