se.dll/sp.html entfernen / about:blank |
||
---|---|---|
#0
| ||
09.05.2005, 23:43
Ehrenmitglied
Beiträge: 29434 |
||
|
||
10.05.2005, 20:26
...neu hier
Beiträge: 4 |
#32
Hallo Sabina!
Ich habe deinen hilfreichen Anweisungen befolgt, aber die Startseite About:blank ist leider noch immer da. Anbei poste ich das Ergebnis von PandaScan: Incident Status Location Virus:Trj/Downloader.BSU Disinfected Operating system Adware:Adware/QuickWeb No disinfected C:\WINDOWS\wintl32.exe Spyware:Spyware/BargainBuddy No disinfected Windows Registry Adware:Adware/MyWay No disinfected C:\Programme\MyWay Adware:Adware/nCase No disinfected C:\Temp\FLEOK Spyware:Spyware/Dyfuca No disinfected Windows Registry Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar Adware:Adware/KeenValue No disinfected C:\Programme\IncrediFind Spyware:Spyware/BetterInet No disinfected Windows Registry Adware:Adware/IPInsight No disinfected C:\WINDOWS\FARMMEXT.exe Adware:Adware/SideFind No disinfected C:\Programme\SideFind Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys Adware:Adware/WUpd No disinfected Windows Registry Adware:Adware/MoeMoney No disinfected C:\Programme\Ebates?MoeMoneyMaker Spyware:Spyware/Altnet No disinfected Windows Registry Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url Adware:Adware/CWS.Aboutblank No disinfected Windows Registry Adware:Adware/Transponder No disinfected C:\WINDOWS\dlmax.dll Adware:Adware/InstaFinder No disinfected C:\Programme\INSTAFINK Adware:Adware/CWS.HomeSearchAsisstantNo disinfected Windows Registry Virus:Trj/Downloader.CFJ Disinfected Operating system Virus:Trj/Downloader.BSU Disinfected C:\!Submit\apiwg32.exe Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\sikimic\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-55150002-5ff74041.zip[Dummy.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\sikimic\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68e08231-27fa4a47.zip[Dummy.class] Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url Adware:Adware/Trymedia No disinfected C:\Downloads\MallTycoonSetup-dm[1].exe Spyware:Spyware/Altnet No disinfected C:\Program Files\Altnet\Download Manager\asmps.dll Spyware:Spyware/BetterInet No disinfected C:\Programme\Common Files\SearchUpgrader\system.cfg Adware:Adware/KeenValue No disinfected C:\Programme\IncrediFind\BHO\IncFindBHO170.dll Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Adware:Adware/nCase No disinfected C:\Temp\salm.log Adware:Adware/nCase No disinfected C:\Temp\salmau.dat Adware:Adware/nCase No disinfected C:\Temp\salmhook.dll Adware:Adware/nCase No disinfected C:\Temp\salm_gdf.dat Adware:Adware/nCase No disinfected C:\Temp\salm_kyf.dat Adware:Adware/SAHAgent No disinfected C:\WINDOWS\70tovmto.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addnz.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addqy32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addtg.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\appdo32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\apptb32.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\conscorr.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\d3bu32.exe Adware:Adware/Transponder No disinfected C:\WINDOWS\dlmax.dll Adware:Adware/SearchAid No disinfected C:\WINDOWS\farmmext.exe Adware:Adware/IPInsight No disinfected C:\WINDOWS\farmmext.ini Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\iegr32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\iekk.exe Adware:Adware/Transponder No disinfected C:\WINDOWS\INF\dlmax.inf Adware:Adware/IPInsight No disinfected C:\WINDOWS\INF\farmmext.inf Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\iprz.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\javapu32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\mfcgm.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\mzolgtot.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\ntdb.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\ntlo32.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\oojmpkvv.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sdkmm.exe Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32m.sys Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sysiu.exe Adware:Adware/SAHAgent No disinfected C:\WINDOWS\SYSTEM32\2b3fsk0h.dll Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\addyl.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\apixc32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\appvi32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\atlax.exe Adware:Adware/QuickWeb No disinfected C:\WINDOWS\SYSTEM32\atldg32.exe Adware:Adware/SAHAgent No disinfected C:\WINDOWS\SYSTEM32\bln02nqv.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\crgv.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\d3df32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\d3dt.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\mfcsg32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\mfcsq.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\msmp32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\msxh32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\sdkbs32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\windw.exe Adware:Adware/QuickWeb No disinfected C:\WINDOWS\wintl32.exe Vielleicht kannst du mir sagen, was ich falsch gemacht habe? Vielen Dank nochmals MfG Jovanotti |
|
|
||
11.05.2005, 17:29
Ehrenmitglied
Beiträge: 29434 |
#33
Hallo@Jovanotti10
Loesche mit der Killbox: C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url C:\WINDOWS\smdat32a.sys C:\WINDOWS\wintl32.exe C:\Downloads\MallTycoonSetup-dm[1].exe C:\Program Files\Altnet\Download Manager\asmps.dll C:\Programme\Common Files\SearchUpgrader\system.cfg C:\Programme\IncrediFind\BHO\IncFindBHO170.dll C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL C:\Temp\salm.log C:\Temp\salmau.dat C:\Temp\salmhook.dll C:\Temp\salm_gdf.dat C:\Temp\salm_kyf.dat C:\WINDOWS\70tovmto.exe C:\WINDOWS\conscorr.exe C:\WINDOWS\dlmax.dll C:\WINDOWS\farmmext.exe C:\WINDOWS\farmmext.ini C:\WINDOWS\INF\dlmax.inf C:\WINDOWS\INF\farmmext.inf C:\WINDOWS\iprz.exe C:\WINDOWS\javapu32.exe C:\WINDOWS\mzolgtot.exe C:\WINDOWS\oojmpkvv.exe C:\WINDOWS\smdat32a.sys C:\WINDOWS\smdat32m.sys C:\WINDOWS\SYSTEM32\2b3fsk0h.dll C:\WINDOWS\SYSTEM32\atldg32.exe C:\WINDOWS\SYSTEM32\bln02nqv.exe PC neustarten -------------------------------------------------------------------------------------------------------------------------------------- C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\ ueberpruefe, ob die ganzen url wirklich geloescht sind........ loesche manuell: C:\Programme\MyWay C:\Temp\FLEOK C:\Programme\ISTbar C:\Programme\IncrediFind C:\WINDOWS\FARMMEXT.exe C:\Programme\SideFind C:\Programme\Ebates?MoeMoneyMaker C:\Programme\INSTAFINK C:\Program Files\Altnet C:\Programme\Common Files\SearchUpgrader C:\Programme\MyWay\myBar #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner •Ad-aware SE Personal 1.05 Updated http://www.lavasoftusa.com/german/software/adaware/ http://www.lavasoft.de/support/download/ Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann dann scanne noch mal mit Panda __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.05.2005, 19:00
...neu hier
Beiträge: 4 |
#34
Hallo Sabina!
die ..\Sites about lassen sich leider im Killbox nicht löschen! Folgendes Ergebnis habe ich von AdAware bekommen: Ad-Aware SE Build 1.05 Logfile Created on:Saturday, May 14, 2005 2:20:55 AM Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R45 13.05.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» VX2(TAC index:10):1 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 5-14-2005 2:20:55 AM - Scan started. (Full System Scan) Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 620 ThreadCreationTime : 5-13-2005 4:19:11 PM BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 668 ThreadCreationTime : 5-13-2005 4:19:12 PM BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 692 ThreadCreationTime : 5-13-2005 4:19:13 PM BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 736 ThreadCreationTime : 5-13-2005 4:19:13 PM BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 748 ThreadCreationTime : 5-13-2005 4:19:13 PM BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [ati2evxx.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 956 ThreadCreationTime : 5-13-2005 4:19:13 PM BasePriority : Normal #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 980 ThreadCreationTime : 5-13-2005 4:19:13 PM BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1084 ThreadCreationTime : 5-13-2005 4:19:13 PM BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1248 ThreadCreationTime : 5-13-2005 4:19:14 PM BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1280 ThreadCreationTime : 5-13-2005 4:19:14 PM BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [ccsetmgr.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\ ProcessID : 1344 ThreadCreationTime : 5-13-2005 4:19:14 PM BasePriority : Normal FileVersion : 103.0.1.26 ProductVersion : 103.0.1.26 ProductName : Client and Host Security Platform CompanyName : Symantec Corporation FileDescription : Symantec Settings Manager Service InternalName : ccSetMgr LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved. OriginalFilename : ccSetMgr.exe #:12 [sndsrvc.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\ ProcessID : 1364 ThreadCreationTime : 5-13-2005 4:19:14 PM BasePriority : Normal FileVersion : 5.4.4.17 ProductVersion : 5.4 ProductName : Symantec Security Drivers CompanyName : Symantec Corporation FileDescription : Network Driver Service InternalName : SndSrvc LegalCopyright : Copyright 2002, 2003, 2004 Symantec Corporation OriginalFilename : SndSrvc.exe #:13 [spbbcsvc.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\ ProcessID : 1448 ThreadCreationTime : 5-13-2005 4:19:14 PM BasePriority : Normal FileVersion : 1,0,1,47 ProductVersion : 1,0,1,47 ProductName : SPBBC CompanyName : Symantec Corporation FileDescription : SPBBC Service InternalName : SPBBCSvc LegalCopyright : Copyright (c) 2004 Symantec Corporation. All rights reserved. OriginalFilename : SPBBCSvc.exe #:14 [ccevtmgr.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\ ProcessID : 1536 ThreadCreationTime : 5-13-2005 4:19:15 PM BasePriority : Normal FileVersion : 103.0.1.26 ProductVersion : 103.0.1.26 ProductName : Client and Host Security Platform CompanyName : Symantec Corporation FileDescription : Symantec Event Manager Service InternalName : ccEvtMgr LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved. OriginalFilename : ccEvtMgr.exe #:15 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1656 ThreadCreationTime : 5-13-2005 4:19:15 PM BasePriority : Normal FileVersion : 6.00.2800.1106 (xpsp1.020828-1920) ProductVersion : 6.00.2800.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:16 [lexbces.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1840 ThreadCreationTime : 5-13-2005 4:19:15 PM BasePriority : Normal FileVersion : 9.45 ProductVersion : 9.45 ProductName : MarkVision for Windows (32 bit) CompanyName : Lexmark International, Inc. FileDescription : LexBce Service InternalName : LexBce Service LegalCopyright : (C) 1993 - 2004 Lexmark International, Inc. OriginalFilename : LexBceS.exe #:17 [lexpps.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1876 ThreadCreationTime : 5-13-2005 4:19:15 PM BasePriority : Normal FileVersion : 9.45 ProductVersion : 9.45 ProductName : MarkVision for Windows (32 bit) CompanyName : Lexmark International, Inc. FileDescription : LEXPPS.EXE InternalName : LEXPPS LegalCopyright : (C) 1993 - 2004 Lexmark International, Inc. OriginalFilename : LEXPPS.EXE Comments : MarkVision for Windows '95 New P2P Server (32-bit) #:18 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1884 ThreadCreationTime : 5-13-2005 4:19:15 PM BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:19 [navapsvc.exe] FilePath : C:\Programme\Norton AntiVirus\ ProcessID : 316 ThreadCreationTime : 5-13-2005 4:19:22 PM BasePriority : Normal FileVersion : 11.0.1.3 ProductVersion : 11.0.1 ProductName : Norton AntiVirus CompanyName : Symantec Corporation FileDescription : Norton AntiVirus Auto-Protect Service InternalName : NAVAPSVC LegalCopyright : Norton AntiVirus 2005 for Windows 98/ME/2000/XP Copyright © 2004 Symantec Corporation. All rights reserved. OriginalFilename : NAVAPSVC.EXE #:20 [npfmntor.exe] FilePath : C:\Programme\Norton AntiVirus\IWP\ ProcessID : 344 ThreadCreationTime : 5-13-2005 4:19:22 PM BasePriority : Normal FileVersion : 11.0.1.3 ProductVersion : 11.0.1 ProductName : Norton AntiVirus CompanyName : Symantec Corporation FileDescription : Norton AntiVirus Firewall Install Monitor InternalName : NPFMonitor LegalCopyright : Norton AntiVirus 2005 for Windows 98/ME/2000/XP Copyright © 2004 Symantec Corporation. All rights reserved. OriginalFilename : NPFMonitor.EXE #:21 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 488 ThreadCreationTime : 5-13-2005 4:19:25 PM BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:22 [symlcsvc.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\ ProcessID : 516 ThreadCreationTime : 5-13-2005 4:19:25 PM BasePriority : Normal FileVersion : 1, 8, 54, 419 ProductVersion : 1, 8, 54, 419 ProductName : Symantec Core Component CompanyName : Symantec Corporation FileDescription : Symantec Core Component InternalName : symlcsvc LegalCopyright : Copyright (C) 2003 OriginalFilename : symlcsvc.exe #:23 [addtj32.exe] FilePath : C:\WINDOWS\ ProcessID : 1392 ThreadCreationTime : 5-13-2005 4:20:13 PM BasePriority : Normal VX2 Object Recognized! Type : Process Data : addtj32.exe Category : Malware Comment : (CSI MATCH) Object : C:\WINDOWS\ Warning! VX2 Object found in memory(C:\WINDOWS\addtj32.exe) "C:\WINDOWS\addtj32.exe"Process terminated successfully "C:\WINDOWS\addtj32.exe"Process terminated successfully #:24 [jusched.exe] FilePath : C:\Programme\Java\j2re1.4.2_03\bin\ ProcessID : 972 ThreadCreationTime : 5-13-2005 4:20:14 PM BasePriority : Normal #:25 [dvdlauncher.exe] FilePath : C:\Programme\CyberLink\PowerDVD\ ProcessID : 1068 ThreadCreationTime : 5-13-2005 4:20:14 PM BasePriority : Normal FileVersion : 3.00.0000 ProductVersion : 3.00.0000 ProductName : Cyberlink PowerCinema 3.0 CompanyName : CyberLink Corp. FileDescription : CyberLink PowerCinema Resident Program InternalName : CyberLink PowerCinema Resident Program LegalCopyright : Copyright (c) 2003 CyberLink Corp. OriginalFilename : DVDLauncher.EXE #:26 [tfswctrl.exe] FilePath : C:\WINDOWS\system32\dla\ ProcessID : 1244 ThreadCreationTime : 5-13-2005 4:20:15 PM BasePriority : Normal FileVersion : 1.04.07b CompanyName : Sonic Solutions FileDescription : Drive Letter Access Component LegalCopyright : Copyright © 2004 Sonic Solutions #:27 [sgtray.exe] FilePath : C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\ ProcessID : 1240 ThreadCreationTime : 5-13-2005 4:20:15 PM BasePriority : Normal FileVersion : 1.01.32a CompanyName : Sonic Solutions FileDescription : Sonic Update Manager LegalCopyright : Copyright © 2002 Sonic Solutions #:28 [realsched.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 1372 ThreadCreationTime : 5-13-2005 4:20:15 PM BasePriority : Normal FileVersion : 0.1.0.3018 ProductVersion : 0.1.0.3018 ProductName : RealPlayer (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:29 [icqlite.exe] FilePath : C:\Programme\ICQLite\ ProcessID : 740 ThreadCreationTime : 5-13-2005 4:20:15 PM BasePriority : Normal FileVersion : 20, 34, 2321, 0 ProductVersion : 20, 34, 2321, 0 ProductName : ICQLite CompanyName : ICQ Ltd. FileDescription : ICQLite InternalName : ICQ Lite LegalCopyright : Copyright (C) 2002 OriginalFilename : ICQLite.exe #:30 [ccapp.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\ ProcessID : 672 ThreadCreationTime : 5-13-2005 4:20:15 PM BasePriority : Normal FileVersion : 103.0.1.26 ProductVersion : 103.0.1.26 ProductName : Client and Host Security Platform CompanyName : Symantec Corporation FileDescription : Symantec User Session InternalName : ccApp LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved. OriginalFilename : ccApp.exe #:31 [usrprmpt.exe] FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\ ProcessID : 1628 ThreadCreationTime : 5-13-2005 4:20:16 PM BasePriority : Normal FileVersion : 2005.1.2.20 ProductVersion : 2005.1 ProductName : Norton Security Center CompanyName : Symantec Corporation FileDescription : Norton Security Center Helper InternalName : UsrPrmpt.dll LegalCopyright : Copyright (c) 1997-2004 Symantec Corporation OriginalFilename : UsrPrmpt.dll #:32 [winampa.exe] FilePath : C:\Programme\Winamp\ ProcessID : 464 ThreadCreationTime : 5-13-2005 4:20:16 PM BasePriority : Normal #:33 [crvw32.exe] FilePath : C:\WINDOWS\ ProcessID : 1508 ThreadCreationTime : 5-13-2005 4:20:16 PM BasePriority : Normal #:34 [ctfmon.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 2072 ThreadCreationTime : 5-13-2005 4:20:16 PM BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:35 [msmsgs.exe] FilePath : C:\Programme\Messenger\ ProcessID : 2116 ThreadCreationTime : 5-13-2005 4:20:16 PM BasePriority : Normal FileVersion : 4.7.0041 ProductVersion : Version 4.7 ProductName : Messenger CompanyName : Microsoft Corporation FileDescription : Messenger InternalName : msmsgs LegalCopyright : Copyright (c) Microsoft Corporation 1997-2001 LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries. OriginalFilename : msmsgs.exe #:36 [quickdcf.exe] FilePath : C:\Program Files\FinePixViewer\ ProcessID : 2260 ThreadCreationTime : 5-13-2005 4:20:17 PM BasePriority : Normal FileVersion : 2, 0, 0, 3 ProductVersion : 2, 0, 0, 3 ProductName : FinePixViewer CompanyName : FUJI PHOTO FILM CO., LTD. FileDescription : Exif Launcher InternalName : QuickDCF LegalCopyright : Copyright 2000-2001 FUJI PHOTO FILM CO.,LTD. OriginalFilename : QuickDCF.exe #:37 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 2924 ThreadCreationTime : 5-13-2005 4:20:36 PM BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved #:38 [wuauclt.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 2952 ThreadCreationTime : 5-13-2005 4:20:43 PM BasePriority : Normal FileVersion : 5.4.3630.1106 (xpsp1.020828-1920) ProductVersion : 5.4.3630.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Client des automatischen Updates von Windows Update InternalName : wuauclt.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : wuauclt.exe Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 1 Objects found so far: 1 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 2:25:46 AM Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:04:51.359 Objects scanned:111896 Objects identified:1 Objects ignored:0 New critical objects:1 Das Ergebnis von Panda schaut nun: Incident Status Location Adware:Adware/QuickWeb No disinfected C:\WINDOWS\crvw32.exe Virus:Trj/Downloader.BSU Disinfected Operating system Adware:Adware/SearchExe No disinfected C:\WINDOWS\iezy.dll Spyware:Spyware/BargainBuddy No disinfected Windows Registry Adware:Adware/IPInsight No disinfected C:\WINDOWS\inf\farmmext.inf Adware:Adware/WUpd No disinfected Windows Registry Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url Adware:Adware/CWS.Aboutblank No disinfected Windows Registry Adware:Adware/Transponder No disinfected C:\WINDOWS\inf\dlmax.inf Adware:Adware/InstaFinder No disinfected Windows Registry Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url Adware:Adware/SearchExe No disinfected C:\WINDOWS\addgd.dll Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addka.exe Adware:Adware/QuickWeb No disinfected C:\WINDOWS\apizk32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\appmc32.exe Virus:Bck/Haxdoor.H Disinfected C:\WINDOWS\atlet.dll Adware:Adware/QuickWeb No disinfected C:\WINDOWS\crvw32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\d3er.exe Adware:Adware/Startpage.AS No disinfected C:\WINDOWS\d3yz32.exe Adware:Adware/SearchExe No disinfected C:\WINDOWS\iezy.dll Adware:Adware/Transponder No disinfected C:\WINDOWS\INF\dlmax.inf Adware:Adware/IPInsight No disinfected C:\WINDOWS\INF\farmmext.inf Adware:Adware/QuickWeb No disinfected C:\WINDOWS\ipcn32.exe Adware:Adware/Startpage.AS No disinfected C:\WINDOWS\ipkl.exe Virus:Bck/Haxdoor.H Disinfected C:\WINDOWS\javatn.dll Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\jveme.dll Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\mfcuv32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\netcu32.exe Adware:Adware/SearchExe No disinfected C:\WINDOWS\ntga32.dll Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\pmtnm.dll Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sdkcv32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\syshp.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\addzp32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\appsp32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\crgl.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\crvq.exe Adware:Adware/Startpage.AS No disinfected C:\WINDOWS\SYSTEM32\d3is32.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\javakk.exe Adware:Adware/QuickWeb No disinfected C:\WINDOWS\SYSTEM32\mfcoh32.exe Adware:Adware/SearchExe No disinfected C:\WINDOWS\SYSTEM32\mfcro32.dll Adware:Adware/QuickWeb No disinfected C:\WINDOWS\SYSTEM32\mfcto.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\netae.exe Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\netfy32.exe Adware:Adware/SearchExe No disinfected C:\WINDOWS\SYSTEM32\netqd.dll Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\nthf.exe Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\prfhy.dll Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\qqhhq.dll Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\rhfrb.dll Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\sdkpe.exe Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\uogqd.dll Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\uxped.dll Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\woang.dll Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sysxb.exe Wie du siehts, ist es bei mir anscheinend sehr schwer das dIng weg zu kriegen! Hoffe, du kannst mir weiter helfen MfG Jovanotti10 |
|
|
||
13.05.2005, 23:38
Ehrenmitglied
Beiträge: 29434 |
#35
Hallo@Jovanotti10
CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp Loesche die url manuell Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url und alles andere mit der Killbox C:\WINDOWS\addgd.dll C:\WINDOWS\apizk32.exe C:\WINDOWS\crvw32.exe C:\WINDOWS\d3yz32.exe C:\WINDOWS\iezy.dll C:\WINDOWS\INF\dlmax.inf C:\WINDOWS\INF\farmmext.inf C:\WINDOWS\ipcn32.exe C:\WINDOWS\ipkl.exe C:\WINDOWS\jveme.dll C:\WINDOWS\ntga32.dll C:\WINDOWS\pmtnm.dll C:\WINDOWS\SYSTEM32\d3is32.exe C:\WINDOWS\SYSTEM32\mfcoh32.exe C:\WINDOWS\SYSTEM32\mfcro32.dll C:\WINDOWS\SYSTEM32\mfcto.exe C:\WINDOWS\SYSTEM32\netqd.dll C:\WINDOWS\SYSTEM32\prfhy.dll C:\WINDOWS\SYSTEM32\qqhhq.dll C:\WINDOWS\SYSTEM32\rhfrb.dll C:\WINDOWS\SYSTEM32\uogqd.dll C:\WINDOWS\SYSTEM32\uxped.dll C:\WINDOWS\SYSTEM32\woang.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.05.2005, 16:00
...neu hier
Beiträge: 1 |
#36
Hi, habe das selbe about ding auf meinem Pc, nur hab ich das problem dass ich mich da kein bisschen auskenne mit solchen sachen..........Voll Übel
|
|
|
||
18.05.2005, 17:18
Ehrenmitglied
Beiträge: 29434 |
#37
Hallo@Dj - Cj
HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.05.2005, 00:01
...neu hier
Beiträge: 4 |
#38
Hi Sabina!
Funktioniert noch immer nicht! Bin langsam verzweifelt. Entschuldige dass ich dich belästige, aber alleine kann es nicht schaffen! Danke Jovanotti10 |
|
|
||
19.05.2005, 16:29
Ehrenmitglied
Beiträge: 29434 |
#39
Hallo@Jovanotti10
Du musst die url manuell loeschen: zum Beispiel: C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url oder: ClaerProg..lade die neuste Version <1.5.1 http://www.clearprog.de/programme/clearprog/index_new.php http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - URLs - index.dat ansonsten berichte, was du nicht schaffst . Das Loeschen mit der Killbox ? ---------------------- •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml mache einen Komplettscan mit dem Antivirus + poste mir unbedingt den Report vom Scan __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.06.2005, 01:40
...neu hier
Beiträge: 2 |
#40
hi,
aus lauter verzweifelung will ich nun auch mal mein log posten: Logfile of HijackThis v1.99.0 Scan saved at 01:39:53, on 01.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ircomm2k.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Eset\nod32kui.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Caere\OmniPagePro10.0\opware32.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Softick\PPP\Bin\PPPGate.exe C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Dennis\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.net:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {96181CC8-3679-4B95-85A9-7BB48DCD737F} - C:\WINDOWS\System32\kenk.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: (no name) - {BB33B07C-CE2E-4EAF-BB31-8D00E468923F} - (no file) O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll O2 - BHO: (no name) - {D962C376-3E24-4D0C-B34A-3037061576CF} - (no file) O3 - Toolbar: 3DNA Toolbar - {2ECB7FB2-0333-416F-92FD-4904AD49252B} - C:\WINDOWS\system32\3DNATO~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [nod32kui] C:\Programme\Eset\nod32kui.exe /WAITSERVICE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro10.0\opware32.exe O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [SoftickPPP] "C:\Programme\Softick\PPP\Bin\PPPGate.exe" O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25D548A3-DF74-4F6C-9957-8F7958C33E94}: NameServer = 192.168.0.1,145.253.2.75,195.50.140.252,195.50.140.250,192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{8E19F818-957C-4F33-8A2E-777756708342}: NameServer = 195.50.140.252,192.168.0.1 O18 - Filter: text/html - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll O18 - Filter: text/plain - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe O23 - Service: License Management Service ESD - Unknown - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe wie soll ich hier weiter machen? gruß dennis |
|
|
||
01.06.2005, 11:23
Ehrenmitglied
Beiträge: 29434 |
#41
Hallo@dennism
Hijacker about:blank - se.dll\sp.html--> scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll,DllInstall O18 - Filter: text/html - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll O18 - Filter: text/plain - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll PC neustarten #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html surfe nur noch mit dem Firefox (links auf der Seite-->Download) http://virus-protect.org/ + poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.06.2005, 00:01
...neu hier
Beiträge: 2 |
#42
hi sabina,
habe das tool (SpSeHjfix112.exe) benutzt und es hat alles prima geklappt. anschließend musste ich zwar den ie6 neu installieren aber nun ist alles weg. keine startsearchseite mehr und keine lästigen popups.!!! hier noch das logfile: Logfile of HijackThis v1.99.0 Scan saved at 00:00:42, on 02.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ircomm2k.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Eset\nod32kui.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Caere\OmniPagePro10.0\opware32.exe C:\Programme\NetPumper\NetPumperIEProxy.exe C:\Programme\Softick\PPP\Bin\PPPGate.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Dennis\LOKALE~1\Temp\Rar$EX00.313\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.net:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: (no name) - {BB33B07C-CE2E-4EAF-BB31-8D00E468923F} - (no file) O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll O2 - BHO: (no name) - {D962C376-3E24-4D0C-B34A-3037061576CF} - (no file) O3 - Toolbar: 3DNA Toolbar - {2ECB7FB2-0333-416F-92FD-4904AD49252B} - C:\WINDOWS\system32\3DNATO~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [nod32kui] C:\Programme\Eset\nod32kui.exe /WAITSERVICE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro10.0\opware32.exe O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [SoftickPPP] "C:\Programme\Softick\PPP\Bin\PPPGate.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25D548A3-DF74-4F6C-9957-8F7958C33E94}: NameServer = 192.168.0.1,145.253.2.75,195.50.140.252,195.50.140.250,192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{8E19F818-957C-4F33-8A2E-777756708342}: NameServer = 195.50.140.252,192.168.0.1 O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe O23 - Service: License Management Service ESD - Unknown - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe vielen dank für die hilfe dennis |
|
|
||
02.06.2005, 15:11
Ehrenmitglied
Beiträge: 29434 |
#43
Hallo@dennism
Surfe nicht mehr mit dem IE, sonst gibt es nur probleme #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html dann brauchst du auch das hier nicht mehr (kannst du deinstallieren) O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe dann solltest du auch die WindowsUpdates machen Anleitung hier. http://virus-protect.org/seite1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.06.2005, 22:24
...neu hier
Beiträge: 1 |
#44
Hallo!
Ich habe die ersten Seiten gelesen und soweit ich weiß alles befolgt, doch trotzdem habe ich immer noch ein blaues Hintergrundbild auf dem Deskop mit der Warnmeldung. Habe auch die Datein se.dll entfernt. Mitlerweile läuft der IE bei mir schon gar nicht mehr. Kann mir da vielleicht jemand helfen, unten mein Logfile! Danke Logfile of HijackThis v1.99.1 Scan saved at 22:16:24, on 09.06.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\INET20057\WINLOGON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE C:\PROGRAMME\BYSOFT FREERAM\FREERAM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\WINSOCKS5.EXE C:\T-Online\BSW4\ONLINE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\ICQLITE\ICQLITE.EXE C:\WINDOWS\TEMP\TD_0005.DIR\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL F1 - win.ini: run=C:\WINDOWS\INET20057\WINLOGON.EXE O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_18_0.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20057\3.00.05.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1601.0\DE\MSNTB.DLL O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_18_0.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" O4 - HKCU\..\Run: [BySoft FreeRAM] C:\PROGRAMME\BYSOFT FREERAM\FREERAM.EXE O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Hardware sensors monitor (2).lnk = C:\Programme\Hmonitor\hmonitor.exe O4 - Startup: T-Online.lnk = ? O4 - Startup: AntiVir Guard (2).lnk = C:\Programme\AVPersonal\AVGCTRL.EXE O4 - User Startup: Hardware sensors monitor (2).lnk = C:\Programme\Hmonitor\hmonitor.exe O4 - User Startup: T-Online.lnk = ? O4 - User Startup: AntiVir Guard (2).lnk = C:\Programme\AVPersonal\AVGCTRL.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES.DLL O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken/us/win/QuickTimeInstaller.exe O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/clients/y/nt1_x.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.dww.at/movies/Components/downloadcontrol.cab |
|
|
||
09.06.2005, 22:34
Ehrenmitglied
Beiträge: 29434 |
#45
Hallo@Changhuat
gehe in die Registry loesche mit rechtsklick: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects\(5321E378-FFAD-4999-8C62-03CA8155F0B3) HKCU\Software\Microsoft\Internet Explorer\Main\ Enable Browser Extensions = "yes" --> aendern in no #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F1 - win.ini: run=C:\WINDOWS\INET20057\WINLOGON.EXE O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20057\3.00.05.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1601.0\DE\MSNTB.DLL O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\Downloaded Program Files\popcaploader.dll C:\WINDOWS\inet20057\3.00.05.dll C:\WINDOWS\INET20057\WINLOGON.EXE C:\WINDOWS\WINSOCKS5.EXE PC neustarten--> in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml C:\WINDOWS\INET20057<--loeschen dann mache Onlinescans + berichte http://virus-protect.org/onlinescan.html + poste das neue Log vom HijackTHis --------------------------- INFO: Backdoor.Graybird.F http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.f.html * Deliver system and network information to the Trojan's creator, including the login names and cached network passwords. * Install an FTP server, allowing the Trojan's creator to use the compromised computer as a temporary storage device. * Open or close the CD-ROM drive and perform other annoying actions. * Download and execute files. * Install a Socks5 proxy server. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " ISEXEng+Workstation NetLogon Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" ISEXEng+Workstation NetLogon Service " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Start-->Ausfuehren--> regedit
loesche mit rechtsklick:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"app_name"="istsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"popup_url"="http://www.ysbweb.com/ist/scripts/istsvc_ads_data.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"update_url"="http://www.ysbweb.com/ist/scripts/istsvc_update.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"config_url"="http://www.ysbweb.com/ist/scripts/istsvc_config.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IST Service"="C:\\Programme\\ISTsvc\\istsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"DisplayName"="ISTsvc"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"UninstallString"="C:\\Programme\\ISTsvc\\istsvc.exe /remove"
bearbeiten--> suchen-->ISEXEng
loesche dann ebenfalls alle Eintraege, die du findest.
Sollte man Probleme haben, die Einträge zu löschen,
Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
-----------------------------------------------------------------------------------------------
öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.b92.net/
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7C167707-1A73-2D53-6A0D-3C3EB55BCAAE} - C:\WINDOWS\system32\mfcxy.dll
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [xcukuyfiodplq] C:\WINDOWS\System32\xdsdswi.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Xukvek] C:\Program Files\Qciuv\Tgevrno.exe
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [appqf32.exe] C:\WINDOWS\appqf32.exe
O8 - Extra context menu item: Ebates - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU)
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/Bridge-c106.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/at/games4.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apiwg32.exe
O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\System32\angelex.exe (file missing)
PC neustarten
KILLBOX:
http://www.bleepingcomputer.com/files/killbox.php
1. Trenne die Internetverbindung und schließe alle laufenden Programme
2. Doppel-klicke auf Killbox.exe und lasse es offen
3. In Killbox klickeauf Delete on Reboot ( roter Kasten )
C:\WINDOWS\Downloaded Program Files\istactivex.dll
C:\WINDOWS\Downloaded Program Files\ISTactivex.inf
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\angelex.exe
C:\WINDOWS\apiwg32.exe
C:\WINDOWS\appqf32.exe
C:\WINDOWS\System32\xdsdswi.exe
C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe
C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker1.exe
C:\WINDOWS\system32\mfcxy.dll
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\WINDOWS\System32\xdsdswi.exe
C:\Program Files\Media Pass\MediaPassK.exe
C:\Program Files\Media Pass\MediaPass.exe
C:\Program Files\Media Pass\MediaPassC.dll
C:\Program Files\Media Pass\Info.txt
C:\WINDOWS\temp\USB.exe
C:\WINDOWS\temp\oddworldz.exe
C:\WINDOWS\temp\istinstall.exe
c:\temp\salm.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Qciuv\Tgevrno.exe
Fügen diese Datei oben in die Full Path of File to Delete Box (1) in
dem man den u.g. Pfad dort eingibt oder mit (2) auf dem Computer nach der Datei suchen.
5. Klicke Yes beim Delete on Reboot Prompt.
6. Klicke No beim laufenden Prozesse Prompt
7. Klicke auf den Delete File Button (sieht aus wie ein Stopzeichen (3).
8. Klicke auf Yes beim Delete on Reboot Prompt.
9. Klicke auf Yes beim laufenden Prozesse Prompt, um den Computer neu zu starten. Lasse den Computer neustarten.
10. Sollte folgende Meldung erscheinen, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!"
PC neustarten
CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp
loeschen:
C:\Program Files\Internet Optimizer
C:\Program Files\Qciuv
C:\Program Files\Media Pass
C:\Programme\Common files\SearchUpgrader
C:\Programme\Ebates_MoeMoneyMaker
C:\Programme\ISTsvc
FxIstbar.exe--> scanne
http://bilder.informationsarchiv.net/Nikitas_Tools/FxIstbar.exe
http://virus-protect.org/onlinescan.html
suche den Onlinescann von Panda, scanne und berichte (poste alles)
__________
MfG Sabina
rund um die PC-Sicherheit