TR\LEFEAT.DLL1 wie entfernen? |
||
---|---|---|
#0
| ||
08.02.2005, 12:57
...neu hier
Beiträge: 8 |
||
|
||
08.02.2005, 13:24
Member
Beiträge: 29 |
#2
fixe folgendes:
R3 - Default URLSearchHook is missing O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) viel glück:o) |
|
|
||
08.02.2005, 13:45
...neu hier
Themenstarter Beiträge: 8 |
#3
Danke loolia
So das hab ich nun gemacht. Jetzt hat der IE aber die Seite about:blank... aber jetzt meldet sich gerade kein virus... reicht das fixing aus? kein einsatz von adware spybot oder irgendwelchen killboxen im abgesicherten modus? Logfile of HijackThis v1.99.0 Scan saved at 13:47:33, on 08.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\CRKQ32.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE C:\PROGRAMME\AVMCLIENT\PANAPP.EXE C:\WINDOWS\SYSTEM\ADDVM32.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: Class - {0877460F-BA5D-5905-21F8-146FA9AD0E2F} - C:\WINDOWS\SYSTEM\ATLLU32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE /startup O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug O4 - HKLM\..\Run: [ADDVM32.EXE] C:\WINDOWS\SYSTEM\ADDVM32.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [CRKQ32.EXE] C:\WINDOWS\CRKQ32.EXE O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252 |
|
|
||
08.02.2005, 15:01
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@teasy33
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: {0877460F-BA5D-5905-21F8-146FA9AD0E2F} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) --------------------------------------------------------------------------------------------- 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ----------------------------------------------------------------------------------------- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\cxepf.dll/sp.html#17449 R3 - Default URLSearchHook is missing O2 - BHO: Class - {0877460F-BA5D-5905-21F8-146FA9AD0E2F} - C:\WINDOWS\SYSTEM\ATLLU32.DLL O4 - HKLM\..\Run: [ADDVM32.EXE] C:\WINDOWS\SYSTEM\ADDVM32.EXE O4 - HKLM\..\RunServices: [CRKQ32.EXE] C:\WINDOWS\CRKQ32.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" kopiere rein: C:\WINDOWS\system\cxepf.dll C:\WINDOWS\SYSTEM\ATLLU32.DLL C:\WINDOWS\SYSTEM\ADDVM32.EXE C:\WINDOWS\CRKQ32.EXE PC neustarten Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten die infizierten Dateien kopierst du dann in die Killbox und loeschst sie. ______________________________________________________________________- #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.02.2005 um 15:11 Uhr von Sabina editiert.
|
|
|
||
08.02.2005, 16:56
...neu hier
Themenstarter Beiträge: 8 |
#5
Hallo Sabina
Danke das du mir hilfst.. habe das Reserchtool geladen.. folgende Protokolldatei erhalten. Ähem ich hab in der Zwischenzeit nochmal auf eigene Faust im Abgesicherten Modus Adware und Spybot suchen lassen. Jeweils Einträge beseit igen lassen und danach das upgedatete E-scan modul gemäß einer Vorgabe aus diesem Forum scannen lassen. 4 gefundene Viren dann mit dem Explorer gelöscht. Ich hoffe das war richtig Danach kam deine Hilfe REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{0877460F-BA5D-5905-21F8-146FA9AD0E2F}" 08.02.05 16:55:22 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] "{0877460F-BA5D-5905-21F8-146FA9AD0E2F}"="" [HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}] [HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}\InprocServer32] [HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}\Data] [HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0877460F-BA5D-5905-21F8-146FA9AD0E2F}\Data\MD] |
|
|
||
08.02.2005, 18:52
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@teasy33
wenn alles abgearbeitet ist und du auch die infizierten Datein (vom escan erkannt) geloescht hast), dann poste das neue Log vom HijacktHis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.02.2005 um 18:53 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 08:16
...neu hier
Themenstarter Beiträge: 8 |
#7
Guten Morgen Sabina
Das war ne lange Sitzung. hab alles durchgeführt. Der Erste Sacn von Adware hatte viele Treffer. hier das 2. Protokoll... hab die weiteren Schritte durchgeführt. HAb aber wieder Virusmeldung beim IE Start der alte TR/lefeat DLL1 und eine neuer... TR/Spy.Image Ad-Aware SE Build 1.05 Logfile Created onienstag, 8. Februar 2005 20:17:52 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R27 05.02.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):23 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 08.02.05 20:17:52 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : .DEFAULT\software\nico mak computing\winzip\filemenu Description : winzip recently used archives MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows\currentversion\applets\wordpad\recent file list Description : list of recent files opened using wordpad MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows\currentversion\applets\paint\recent file list Description : list of files recently opened using microsoft paint MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\office\8.0\excel\recent file list Description : list of recent files used by microsoft excel MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\office\10.0\excel\recent files Description : list of recent files used by microsoft excel MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\office\10.0\powerpoint\recent file list Description : list of recent files used by microsoft powerpoint MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\player\recentfilelist Description : list of recently used files in microsoft windows media player MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\office\10.0\common\general Description : list of recently used symbols in microsoft office MRU List Object Recognized! Location: : .DEFAULT\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : .DEFAULT\software\kazaa\search Description : list of recent searches performed with sharman networks kazaa MRU List Object Recognized! Location: : .DEFAULT\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\office\10.0\clip organizer\search\last query Description : last query in microsoft clip organizer MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\player\recenturllist Description : list of recently used web addresses in microsoft windows media player MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\medialibraryui Description : last selected node in the microsoft windows media player media library MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows\currentversion\explorer\prnportsmru Description : list of recently used printer ports in the microsoft windows operating system MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [KERNEL32.DLL] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4293915669 Threads : 8 Priority : High FileVersion : 4.10.2222 ProductVersion : 4.10.2222 ProductName : Betriebssystem Microsoft(R) Windows(R) CompanyName : Microsoft Corporation FileDescription : Kernkomponente des Win32-Kernel InternalName : KERNEL32 LegalCopyright : Copyright (C) Microsoft Corp. 1991-1999 OriginalFilename : KERNEL32.DLL #:2 [MSGSRV32.EXE] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294915177 Threads : 1 Priority : Normal FileVersion : 4.10.2222 ProductVersion : 4.10.2222 ProductName : Betriebssystem Microsoft(R) Windows(R) CompanyName : Microsoft Corporation FileDescription : Windows 32-Bit-VxD-Meldungsserver InternalName : MSGSRV32 LegalCopyright : Copyright (C) Microsoft Corp. 1992-1998 OriginalFilename : MSGSRV32.EXE #:3 [SPOOL32.EXE] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294917201 Threads : 2 Priority : Normal FileVersion : 4.10.1998 ProductVersion : 4.10.1998 ProductName : Microsoft(R) Windows(R) Operating System CompanyName : Microsoft Corporation FileDescription : Spooler Sub System Process InternalName : spool32 LegalCopyright : Copyright (C) Microsoft Corp. 1994 - 1998 OriginalFilename : spool32.exe #:4 [MPREXE.EXE] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4294912673 Threads : 2 Priority : Normal FileVersion : 4.10.1998 ProductVersion : 4.10.1998 ProductName : Microsoft(R) Windows(R) Operating System CompanyName : Microsoft Corporation FileDescription : WIN32 Network Interface Service Process InternalName : MPREXE LegalCopyright : Copyright (C) Microsoft Corp. 1993-1998 OriginalFilename : MPREXE.EXE #:5 [NAVAPW32.EXE] FilePath : C:\PROGRAMME\NORTON ANTIVIRUS\ ProcessID : 4292911973 Threads : 5 Priority : Normal FileVersion : 5.0.0.26 ProductVersion : 5.0.0.26 ProductName : Norton AntiVirus CompanyName : Symantec Corporation FileDescription : Norton AntiVirus Auto-Protect Agent InternalName : NAVAPW32 LegalCopyright : Copyright (C) Symantec Corporation 1991-1997 OriginalFilename : NAVAPW32.DLL #:6 [mmtask.tsk] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4292887281 Threads : 1 Priority : Normal FileVersion : 4.03.1998 ProductVersion : 4.03.1998 ProductName : Microsoft Windows CompanyName : Microsoft Corporation FileDescription : Multimedia background task support module InternalName : mmtask.tsk LegalCopyright : Copyright © Microsoft Corp. 1991-1998 OriginalFilename : mmtask.tsk #:7 [EXPLORER.EXE] FilePath : C:\WINDOWS\ ProcessID : 4292982629 Threads : 6 Priority : Normal FileVersion : 4.72.3110.1 ProductVersion : 4.72.3110.1 ProductName : Betriebssystem Microsoft(R) Windows NT(R) CompanyName : Microsoft Corporation FileDescription : Windows-Explorer InternalName : explorer LegalCopyright : Copyright (C) Microsoft Corp. 1981-1997 OriginalFilename : EXPLORER.EXE #:8 [SYSTRAY.EXE] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4292939129 Threads : 2 Priority : Normal FileVersion : 4.10.2222 ProductVersion : 4.10.2222 ProductName : Betriebssystem Microsoft(R) Windows(R) CompanyName : Microsoft Corporation FileDescription : Systemanwendung für Taskleiste InternalName : SYSTRAY LegalCopyright : Copyright (C) Microsoft Corp. 1993-1998 OriginalFilename : SYSTRAY.EXE #:9 [STIMON.EXE] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4293048405 Threads : 3 Priority : Normal FileVersion : 4.10.2222 ProductVersion : 4.10.2222 ProductName : Betriebssystem Microsoft(R) Windows(R) CompanyName : Microsoft Corporation FileDescription : Still Image Devices Monitor InternalName : STIMON LegalCopyright : Copyright (C) Microsoft Corp. 1996-1998 OriginalFilename : STIMON.EXE #:10 [ITOUCH.EXE] FilePath : C:\PROGRAMME\LOGITECH\ITOUCH\ ProcessID : 4293055989 Threads : 2 Priority : Normal FileVersion : 2.15.264 ProductVersion : 2.15.264 ProductName : iTouch CompanyName : Logitech Inc. FileDescription : iTouch Application InternalName : iTouch LegalCopyright : (C) 1998-2002 Logitech. All rights reserved. LegalTrademarks : Logitech® and iTouch® are registered trademarks of Logitech Inc. OriginalFilename : iTouch.exe Comments : Created by the iTouch team #:11 [LOADQM.EXE] FilePath : C:\WINDOWS\ ProcessID : 4293031421 Threads : 3 Priority : Normal FileVersion : 5.4.1103.3 ProductVersion : 5.4.1103.3 ProductName : QMgr Loader CompanyName : Microsoft Corporation FileDescription : Microsoft QMgr InternalName : LOADQM.EXE LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999 OriginalFilename : LOADQM.EXE #:12 [EM_EXEC.EXE] FilePath : C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\ ProcessID : 4293018977 Threads : 1 Priority : Normal FileVersion : 9.78.034 ProductVersion : 9.78.034 ProductName : MouseWare CompanyName : Logitech Inc. FileDescription : Logitech Events Handler Application InternalName : Em_Exec LegalCopyright : (C) 1987-2003 Logitech. All rights reserved. LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc. OriginalFilename : Em_Exec.exe Comments : Created by the MouseWare team #:13 [BLUEFRITZ.EXE] FilePath : C:\PROGRAMME\AVMCLIENT\ ProcessID : 4293021625 Threads : 4 Priority : Normal FileVersion : 2, 3, 37, 0 ProductVersion : 1, 0, 0, 1 ProductName : avm BlueFRITZ CompanyName : avm FileDescription : BlueFRITZ InternalName : BlueFRITZ LegalCopyright : Copyright © 2004 OriginalFilename : BlueFRITZ.exe #:14 [AVMBTSERVICE.EXE] FilePath : C:\PROGRAMME\AVMCLIENT\ ProcessID : 4293064561 Threads : 7 Priority : Normal FileVersion : 1, 0, 0, 2 ProductVersion : 1, 0, 0, 1 ProductName : AVM AVMBTService CompanyName : AVM Berlin InternalName : AVMBTService LegalCopyright : Copyright © AVM Berlin OriginalFilename : AVMBTService.exe #:15 [PANAPP.EXE] FilePath : C:\PROGRAMME\AVMCLIENT\ ProcessID : 4293059689 Threads : 6 Priority : Normal #:16 [AVGCTRL.EXE] FilePath : C:\PROGRAMME\AVPERSONAL\ ProcessID : 4293034153 Threads : 2 Priority : Normal #:17 [CTMIX32.EXE] FilePath : C:\SBPCI\ ProcessID : 4293124169 Threads : 1 Priority : Normal FileVersion : 6.00.5 ProductVersion : 6.00.5 ProductName : Creative Mixer Loader CompanyName : Creative Technology Ltd. FileDescription : Creative Mixer Loader InternalName : Creative Mixer Loader LegalCopyright : Copyright (c) Creative Technology Ltd 1991-99. OriginalFilename : CTMXLD32.EXE #:18 [CTFMON.EXE] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4293123653 Threads : 1 Priority : Normal FileVersion : 1.00.2409.7 built by: Lab06_N ProductVersion : 1.00.2409.7 ProductName : Microsoft(R) Windows NT(R) Operating System CompanyName : Microsoft Corporation FileDescription : Cicero Loader InternalName : CICLOAD LegalCopyright : Copyright (C) Microsoft Corporation. 1981-2001 OriginalFilename : CICLOAD.EXE #:19 [WCESCOMM.EXE] FilePath : C:\PROGRAMME\MICROSOFT ACTIVESYNC\ ProcessID : 4294931393 Threads : 4 Priority : Normal FileVersion : 3.7.0.3083 ProductVersion : 3.7.3083 ProductName : Microsoft ActiveSync CompanyName : Microsoft Corporation FileDescription : Connection Manager InternalName : wcescomm LegalCopyright : Copyright © 1995-2003 Microsoft Corp. All rights reserved. LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. OriginalFilename : WCESCOMM.EXE #:20 [WMIEXE.EXE] FilePath : C:\WINDOWS\SYSTEM\ ProcessID : 4293137893 Threads : 3 Priority : Normal FileVersion : 5.00.1755.1 ProductVersion : 5.00.1755.1 ProductName : Microsoft(R) Windows NT(R) Operating System CompanyName : Microsoft Corporation FileDescription : WMI service exe housing InternalName : wmiexe LegalCopyright : Copyright (C) Microsoft Corp. 1981-1998 OriginalFilename : wmiexe.exe #:21 [AD-AWARE.EXE] FilePath : C:\PROGRAMME\LAVASOFT\AD-AWARE SE PERSONAL\ ProcessID : 4293163181 Threads : 2 Priority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Deep scanning and examining files (c »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for c:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Deep scanning and examining files (d »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for d:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 23 20:38:22 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:20:29.890 Objects scanned:105398 Objects identified:0 Objects ignored:0 New critical objects:0 |
|
|
||
09.02.2005, 11:19
Ehrenmitglied
Beiträge: 29434 |
#8
ich moechte gern noch die infizierten Dateien vom escan sehen, du musst alles durchfuehren, was ich schreibe und mir immer alles posten, nicht nur, "ich hab den und den Virus"...damit kann ich nichts anfangen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2005, 16:41
...neu hier
Themenstarter Beiträge: 8 |
#9
16:41
Hallo Sabina ich hab den E-scan nochmal laufen lassen- im abgesicherten Modus da sich der PC im Normalmodus augehängt hat. Erkannte viren im beigefügten Posting. hab die gemeldeten Files mit der Killbox gelöscht. File C:\WINDOWS\SYSTEM\IPIM.EXE infected by "Trojan-Downloader.Win32.Small.ajr" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\CRBY.EXE infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\D3B2.TMP infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\D3B2.TMP infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Twain_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\!Submit\ipko.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. File D:\Safe von Festplatte c am 01012003\Programme\PC-Linq\Uninstall.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Safe von Festplatte c am 01012003\Programme\PC-Linq\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Zip Archive\Setupdownloads\notepad.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Zip Archive\Setupdownloads\Yph\ymsgrie.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Zip Archive\Setupdownloads\Yph\ymsgriede.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Zip Archive\Setupdownloads\Yph\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. hier das eben durchgeführte Hijack posting: Logfile of HijackThis v1.99.0 Scan saved at 16:43:00, on 09.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE C:\PROGRAMME\AVMCLIENT\PANAPP.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\SBPCI\CTMIX32.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252 ist die kiste jetzt sauber? LG Teasy33 Dieser Beitrag wurde am 09.02.2005 um 17:41 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 17:35
Ehrenmitglied
Beiträge: 29434 |
#10
Heute, 08:22
Guten morgten Sabina. Kann nicht zweimal antworten auf mein "thread".. deswegen das aktuelle Hijacklog direkt zu dir Logfile of HijackThis v1.99.0 Scan saved at 08:21:12, on 09.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE C:\PROGRAMME\AVMCLIENT\PANAPP.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\SBPCI\CTMIX32.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\IPKO.EXE C:\WINDOWS\SYSTEM\IPIM.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: Class - {D909FA9D-7AE6-6B2A-B820-22D8EBB261F2} - C:\WINDOWS\ATLGL.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [IPIM.EXE] C:\WINDOWS\SYSTEM\IPIM.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [IPME32.EXE] C:\WINDOWS\SYSTEM\IPME32.EXE O4 - HKLM\..\RunServices: [IPKO.EXE] C:\WINDOWS\IPKO.EXE O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252 Backdoor.Win32.Small.dc :\WINDOWS\SYSTEM\IPME32.EXE __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 17:45 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 17:36
Ehrenmitglied
Beiträge: 29434 |
#11
Zitat teasy33 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 17:38 Uhr von Sabina editiert.
|
|
|
||
09.02.2005, 17:49
Ehrenmitglied
Beiträge: 29434 |
#12
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sjcgc.dll/sp.html#17449 R3 - Default URLSearchHook is missing O2 - BHO: Class - {D909FA9D-7AE6-6B2A-B820-22D8EBB261F2} - C:\WINDOWS\ATLGL.DLL O4 - HKLM\..\Run: [IPIM.EXE] C:\WINDOWS\SYSTEM\IPIM.EXE O4 - HKLM\..\RunServices: [IPME32.EXE] C:\WINDOWS\SYSTEM\IPME32.EXE O4 - HKLM\..\RunServices: [IPKO.EXE] C:\WINDOWS\IPKO.EXE PC neustarten loeschemit der Killbox) C:\WINDOWS\ATLGL.DLL C:\WINDOWS\SYSTEM\CRBY.EXE C:\WINDOWS\sjcgc.dll C:\WINDOWS\SYSTEM\IPIM.EXE C:\WINDOWS\SYSTEM\IPME32.EXE C:\WINDOWS\IPKO.EXE C:\WINDOWS\TEMP\D3B2.TMP C:\WINDOWS\TEMP\D3B2.TMP PC neustarten ueberpruefe , ob das geloescht ist: C:\WINDOWS\TEMP\D3B2.TMP #a² free http://www.emsisoft.de/de/software/download/ http://www.emsisoft.de/de/software/free/ #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 17:54 Uhr von Sabina editiert.
|
|
|
||
10.02.2005, 01:33
...neu hier
Beiträge: 10 |
#13
Das Wichtigste zuerst.
Ich hab keine Ahnung von Computer!!! Seit gestern nerven mich regelmäßig auftretende Popup Fenster, trotz Ad-aware, außerdem sagt mein Anti-Vir XP: su hast ein trojanisches Pferd auf dem Rechner, es heißt: TR\LEFEAT.DLL1. davon mal abgesehen, dass das ein recht ungewöhnlicher Name für ein Pferd ist hab ich ein bisschen Schiss, das hier was unkontrollierbares am Start ist. Hab auch schon hijack this drüberlaufen lassen, file schaut so aus: Logfile of HijackThis v1.99.0 Scan saved at 01:21:35, on 10.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTSVCCDA.EXE C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\addmp32.exe C:\WINDOWS\Explorer.EXE C:\Programme\CpuIdle\cpuidle.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\crpi.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\D-Link AirPlus\AirPlus.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {324C7B28-F8EB-05C3-47CF-680DDABE2D8D} - C:\WINDOWS\ipdn.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [crpi.exe] C:\WINDOWS\system32\crpi.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D12945-146E-49C1-BD7B-8E4F528D1D9A}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\addmp32.exe Wer von Euch kann mir weiter helfen? Mit der Bitte um eine einfache Erklärung, Danke schön!!! |
|
|
||
10.02.2005, 08:19
...neu hier
Themenstarter Beiträge: 8 |
#14
Guten morgen sabina
ich glaube wir haben es geschafft. auf %temp% erscheitn beim ausführen nur das fenster mit dem Temp-Verzeichnis. eine Datei Kbt.txt ist nicht vorhanden. anbei Hijack-log von heute früh. LG Teasy33 Logfile of HijackThis v1.99.0 Scan saved at 08:20:00, on 10.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE C:\PROGRAMME\AVMCLIENT\PANAPP.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\SBPCI\CTMIX32.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - HKCU\..\RunServices: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\RunServices: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252 |
|
|
||
10.02.2005, 10:42
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@teasy33
Ja, diesmal scheint es o.k. Ueberpruefe bitte dein Log vom HijackThis ab und zu, und wenn die dll im Browser wieder erscheinen, komme ins Forum Surfe nicht mehr mit dem IE #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich kämpfe jetzt seit ein paar Tagen mit Trojanern und diesem blöden Virus TR/Lefeat.DLL1 .
Mein Nortan Antivirus versagt total... erkennt gar nichts. Erst Antivir vers 6 endeckt den Übeltäter aber anscheinend nicht komplett, denn ständig wenn ich den Iexplorer starte kommt eine Meldung das der Virus irgendwo im Windowsverzeichnis wuselt. ständiges löschen hilft gar nichts.
habe nun versucht mittels des Forums mir anhand der Anfragen von "Leidensgenossen" und den Tipos vo sabine zu helfen.Die Mysearch site scheine ich los zu sein- Google ist wieder Startseite..
Hab hijack geladen und die deutsche Beschreibung.. aber auch ein paar "fixes"ausprobiert habe ich wohl nicht richtig oder ausreichend gemacht.
Hilfe ich brauche wohl jemand der mir dabei Händchen hält..
Toll ich dachte ich hätte etwas Ahnung... Respekt wer da durchschaut!
Ich bedanke mich im Voraus
anbei Poste ich die Hijackliste in der Hoffnung auf Hilfe und Anleitung.
Logfile of HijackThis v1.99.0
Scan saved at 12:49:29, on 08.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\CRKQ32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\WINDOWS\SYSTEM\ADDVM32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {0877460F-BA5D-5905-21F8-146FA9AD0E2F} - C:\WINDOWS\SYSTEM\ATLLU32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ELSA_VICTORY_II] rundll32.exe C:\WINDOWS\ELSAUTIL\ELSAV23D.dll,VictoryIILoadSettings
O4 - HKLM\..\Run: [ELSA WINman Suite] C:\WINDOWS\ELSAUTIL\WINMSUIT.EXE /startup
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [ADDVM32.EXE] C:\WINDOWS\SYSTEM\ADDVM32.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [CRKQ32.EXE] C:\WINDOWS\CRKQ32.EXE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = thesing.local
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.100.2,192.168.121.253,192.168.121.252