http://new-search.net/ search.php?v=6&aff=277340 |
||
---|---|---|
#0
| ||
19.03.2005, 01:07
Ehrenmitglied
Beiträge: 29434 |
||
|
||
19.03.2005, 01:20
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@mrellas
Troj/Agent-GN # Ermöglicht Dritten den Zugriff auf den Computer # Löscht Dateien vom Computer # Stiehlt Daten # Lädt Code aus dem Internet herunter Der Trojaner registriert sich als Dienstprozess und lädt Dateien von einem remoten Speicherort herunter und führt sie aus. Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Miscrosoft Updates Service (MsUpdate) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der " Miscrosoft Updates Service (MsUpdate) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: Miscrosoft Updates Service Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das machst du auch mit. MsUpdate {11311111-1111-1111-1111-111111111157} {14A3221B-1678-1982-A355-7263B1281987} {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/ search.php?v=6&aff=277340 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/ index.php?v=6&aff=277340 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net* R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {4D88A688-7B3B-335F-3FE0-A4D23E413255} - C:\WINDOWS\System32\avfsaepi.dll (file missing) O2 - BHO: (no name) - {C8860E6C-FE5A-7EE5-109C-8B1DA9F46944} - C:\WINDOWS\System32\hbztedyq.dll O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG1 O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http:/ /82.179.166.130/e9xr2.chm::/file.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file:// c:\nosuxyz.mht!http://members.chello.at/karl.meindl/sniper/loud.chm::/bridge-c32.cab O23 - Service: Miscrosoft Updates Service (MsUpdate) - Unknown owner - C:\WINDOWS\System32\msupd.exe (file missing)<---BKDR_DARKIRC.QZ/Troj/Agent-GN PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Program Files\Windows AdControl\WinAdCtl.exe C:\WINDOWS\Downloaded Program Files\WinCommX.dll C:\WINDOWS\System32\avfsaepi.dll C:\WINDOWS\System32\hbztedyq.dll C:\WINDOWS\SYSCFG16.EXE C:\WINDOWS\System32\msupd.exe C:\Recycled\Q330995.exe C:\WINDOWS\System32\TapiServ.exe C:\WINDOWS\System32\CleanDll.exe C:\WINDOWS\System32\runtime.exe C:\WINDOWS\System32\SysRq.exe C:\WINDOWS\System32\rgedit.exe C:\WINDOWS\System32\sl_scan.exe C:\WINDOWS\System32\gspan.exe C:\WINDOWS\System32\MsUpd.exe C:\WINDOWS\System32\sysbat.exe C:\WINDOWS\System32\loadsys.exe C:\WINDOWS\System32\gl_modulate.exe C:\WINDOWS\System32\fpscan.exe C:\WINDOWS\System32\fps.exe C:\WINDOWS\System32\Sysload.exe C:\WINDOWS\System32\WinServ.exe C:\WINDOWS\System32\glpod.exe C:\WINDOWS\System32\modulate.exe C:\WINDOWS\System32\statnum.exe C:\WINDOWS\System32\fileload.exe C:\WINDOWS\System32\sysctrls.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe PC neustarten •Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" Wind Updates •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.03.2005, 08:10
...neu hier
Beiträge: 8 |
#3
Danke erstmal Sabine ... DU BIST SUPER !!!!
Hier sind die Daten die du wolltest! Gruß Dimitris ________________________________________________________________ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Miscrosoft Updates Service" 19.03.2005 08:04:28 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE\0000] "DeviceDesc"="Miscrosoft Updates Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsUpdate] "DisplayName"="Miscrosoft Updates Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE\0000] "DeviceDesc"="Miscrosoft Updates Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsUpdate] "DisplayName"="Miscrosoft Updates Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE\0000] "DeviceDesc"="Miscrosoft Updates Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsUpdate] "DisplayName"="Miscrosoft Updates Service" ________________________________________________________________ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "MsUpdate" 19.03.2005 08:06:22 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE\0000] "Service"="MsUpdate" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsUpdate] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsUpdate\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsUpdate\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsUpdate\Enum] "0"="Root\\LEGACY_MSUPDATE\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE\0000] "Service"="MsUpdate" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsUpdate] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsUpdate\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE\0000] "Service"="MsUpdate" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsUpdate] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsUpdate\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsUpdate\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsUpdate\Enum] "0"="Root\\LEGACY_MSUPDATE\\0000" ________________________________________________________________ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{11311111-1111-1111-1111-111111111157}" 19.03.2005 08:07:42 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-111111111157}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-111111111157}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-111111111157}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11311111-1111-1111-1111-111111111157}\InstalledVersion] _______________________________________________________________ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{14A3221B-1678-1982-A355-7263B1281987}" 19.03.2005 08:08:30 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{14A3221B-1678-1982-A355-7263B1281987}\InstalledVersion] _______________________________________________________________ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}" 19.03.2005 08:09:15 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Implemented Categories] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinCommX.Installer\CLSID] @="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InstalledVersion] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinCommX.dll] ".Owner"="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinCommX.dll] "{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"="" |
|
|
||
19.03.2005, 09:52
Ehrenmitglied
Themenstarter Beiträge: 29434 |
||
|
||
19.03.2005, 10:04
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#5
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.03.2005, 11:16
...neu hier
Beiträge: 8 |
#6
Habe den Panda-scan gemacht und die Report-Datei gespeicher.
http://de.geocities.com/mykonos_31/Activescan.txt Wie soll ich die Löschen?? ________________________________________________________________ Und der F-secure scan ergab: C:\WINDOWS\system32\tksrv99.exe Trojan-Downloader.Win32.Esepor.y C:\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temp\sp.html JS/StartPage.T C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\iinstall.exe Trojan-Downloader.Win32.IstBar.gen C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\ICD3.tmp\stoolbar.dll Trojan.Win32.StartPage.rr C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPG96J8V\loader2[1].ocx Trojan-Downloader.Win32.Agent.ex C:\Programme\comedy-planet\comedy-planet.exe Trojan-Downloader.Win32.Agent.ic C:\System Volume Information\_restore{831B4031-92F5-4C36-81B8-499A99367474}\RP126\A0125228.EXE Backdoor.Win32.Wisdoor.ag |
|
|
||
19.03.2005, 15:13
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#7
#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) ----------------------------------------------------------------------------------------------------------------------------------------- Loesche alles das: C:\WINDOWS\system32\tksrv99.exe C:\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temp\sp.html C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\iinstall.exe C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\ICD3.tmp\stoolbar.dll C:\Programme\comedy-planet\comedy-planet.exe C:\Programme\Power Scan C:\Programme\Web_Rebates C:\Program Files\Altnet C:\WINDOWS\Temp\Wisdom.exe C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Gain Publishing C:\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temp\p2psetup.exe C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\djtopr1150.exe C:\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temp\asmfiles.cab C:\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temp\asmfiles.cab[asm.exe] C:\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temp\asmfiles.cab[asmps.dll] C:\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N0WFVSDZ\p2psetup[1].exe C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\powerscan.exe C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\ICD4.tmp\ATPartners.inf C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CPG96J8V\loader2[1].ocx C:\Programme\SoundControl\SoundControl.exe C:\Temp\WinAdCtlInstPack.exe C:\MP3 Studio.msi[unk_0056][SoundControl.exe] E:\WIN XP ALTE DATEIN von 7-9-04\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T48RPTOT\asmfiles[1].cab E:\WIN XP ALTE DATEIN von 7-9-04\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T48RPTOT\asmfiles[1].cab[asm.exe] E:\WIN XP ALTE DATEIN von 7-9-04\Dokumente und Einstellungen\Jim\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T48RPTOT\asmfiles[1].cab[asmps.dll] G:\incoming\Kazzaa heute\Clone CD 5 versions with keygens(2).exe[Clone CD 3.06.01+crack+db.zip][clonedb_2002.exe] G:\Kazzaa heute\Clone CD & DVD versions + Serials + Keygens.zip[Clone CD 3.06.01 Loesche mit der Killbox: C:\System Volume Information\_restore{831B4031-92F5-4C36-81B8-499A99367474}\RP126\A0125228.EXE C:\Program Files\Altnet\Download Manager\admdloader.dll C:\Program Files\Altnet\Download Manager\admdata.dll C:\Program Files\Altnet\Download Manager\admfdi.dll C:\Program Files\Altnet\Download Manager\adm25.dll C:\Program Files\Altnet\Download Manager\adm.exe C:\Program Files\Altnet\Download Manager\adm4.dll C:\Program Files\Altnet\Download Manager\admprog.dll C:\Program Files\Altnet\Download Manager\altnetuninstall.exe C:\Program Files\Win Comm\WinDat.dll C:\Program Files\Windows AdControl\WinAdShift.dll C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL C:\Programme\Web_Rebates\disp1150.exe C:\Programme\Web_Rebates\README.txt PC neustarten #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner + #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.03.2005, 18:11
...neu hier
Beiträge: 8 |
#8
Hallo!!!
Hier hab ich die Log-Datei von Ad-Aware!! Ad-Aware SE Build 1.05 Logfile Created on:Sonntag, 20. März 2005 18:04:41 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R33 16.03.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):37 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 20.03.2005 18:04:41 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\nvidia corporation\global\nview\windowmanagement Description : nvidia nview cached application window positions MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\windows\currentversion\applets\wordpad\recent file list Description : list of recent files opened using wordpad MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\windows\currentversion\applets\paint\recent file list Description : list of files recently opened using microsoft paint MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\mediaplayer\player\recentfilelist Description : list of recently used files in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\internet explorer\main Description : last save directory used in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\realnetworks\realplayer\6.0\preferences Description : list of recent skins in realplayer MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\office\10.0\common\general Description : list of recently used symbols in microsoft office MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\internet explorer\typedurls Description : list of recently entered addresses in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\realnetworks\realplayer\6.0\preferences Description : list of recent clips in realplayer MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\realnetworks\realplayer\6.0\preferences Description : last login time in realplayer MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\office\10.0\clip organizer\search\last query Description : last query in microsoft clip organizer MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\winrar\dialogedithistory\extrpath Description : winrar "extract-to" history MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-682003330-854245398-725345543-1004\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\recent Description : list of recently opened documents Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 440 ThreadCreationTime : 20.03.2005 16:58:09 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 504 ThreadCreationTime : 20.03.2005 16:58:12 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 528 ThreadCreationTime : 20.03.2005 16:58:12 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 572 ThreadCreationTime : 20.03.2005 16:58:13 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 584 ThreadCreationTime : 20.03.2005 16:58:13 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 748 ThreadCreationTime : 20.03.2005 16:58:13 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 800 ThreadCreationTime : 20.03.2005 16:58:13 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 952 ThreadCreationTime : 20.03.2005 16:58:14 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 992 ThreadCreationTime : 20.03.2005 16:58:14 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1172 ThreadCreationTime : 20.03.2005 16:58:14 BasePriority : Normal FileVersion : 6.00.2600.0000 (xpclient.010817-1148) ProductVersion : 6.00.2600.0000 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:11 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1224 ThreadCreationTime : 20.03.2005 16:58:14 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:12 [hpztsb08.exe] FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\ ProcessID : 1336 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 2,224,2,0 ProductVersion : 2,224,2,0 ProductName : HP DeskJet CompanyName : HP LegalCopyright : Copyright (c) Hewlett-Packard Company 1999-2003 #:13 [qttask.exe] FilePath : C:\Programme\QuickTime\ ProcessID : 1344 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 6.4 ProductVersion : QuickTime 6.4 ProductName : QuickTime CompanyName : Apple Computer, Inc. InternalName : QuickTime Task LegalCopyright : © Apple Computer, Inc. 2001-2003 OriginalFilename : QTTask.exe #:14 [realsched.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 1360 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 0.1.0.1599 ProductVersion : 0.1.0.1599 ProductName : RealOne Player (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2002 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:15 [zlclient.exe] FilePath : C:\Programme\Zone Labs\ZoneAlarm\ ProcessID : 1424 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 5.1.039.004 ProductVersion : 5.1.039.004 ProductName : Zone Labs Client CompanyName : Zone Labs Inc. FileDescription : Zone Labs Client InternalName : zlclient LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : zlclient.exe #:16 [netpumperieproxy.exe] FilePath : C:\Programme\NetPumper\ ProcessID : 1444 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 1.20.1.0 ProductVersion : 1.20.1.0 ProductName : NetPumper CompanyName : Icenet LLC FileDescription : IExplore 4.x-6.x URL monitor InternalName : NetPumperIEProxy LegalCopyright : Copyright © 2002 WakeNet AB OriginalFilename : NetPumperIEProxy.exe #:17 [ctfmon.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1452 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:18 [msmsgs.exe] FilePath : C:\Programme\Messenger\ ProcessID : 1464 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 4.7.2010 ProductVersion : Version 4.7 ProductName : Messenger CompanyName : Microsoft Corporation FileDescription : Messenger InternalName : msmsgs LegalCopyright : Copyright (c) Microsoft Corporation 1997-2003 LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries. OriginalFilename : msmsgs.exe #:19 [rundll32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1472 ThreadCreationTime : 20.03.2005 16:58:15 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Eine DLL-Datei als Anwendung ausführen InternalName : rundll LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : RUNDLL.EXE #:20 [avgnt.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1552 ThreadCreationTime : 20.03.2005 16:58:16 BasePriority : Normal #:21 [avwupsrv.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1740 ThreadCreationTime : 20.03.2005 16:58:22 BasePriority : Normal #:22 [nvsvc32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1772 ThreadCreationTime : 20.03.2005 16:58:22 BasePriority : Normal FileVersion : 6.14.10.4471 ProductVersion : 6.14.10.4471 ProductName : NVIDIA Driver Helper Service, Version 44.71 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 44.71 InternalName : NVSVC LegalCopyright : (C) NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:23 [pctspk.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1788 ThreadCreationTime : 20.03.2005 16:58:22 BasePriority : Normal FileVersion : 4.00 ProductVersion : 4.00 ProductName : PCTSPK.EXE CompanyName : PCtel, Inc. FileDescription : PCTSPK.EXE InternalName : PCTSPK.EXE LegalCopyright : Copyright (C)PCtel,Inc. 1999-2000 OriginalFilename : PCTSPK.EXE #:24 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1824 ThreadCreationTime : 20.03.2005 16:58:22 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:25 [vsmon.exe] FilePath : C:\WINDOWS\system32\ZONELABS\ ProcessID : 1844 ThreadCreationTime : 20.03.2005 16:58:22 BasePriority : Normal FileVersion : 5.1.039.004 ProductVersion : 5.1.039.004 ProductName : TrueVector Service CompanyName : Zone Labs Inc. FileDescription : TrueVector Service InternalName : vsmon LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : vsmon.exe #:26 [rnathchk.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 964 ThreadCreationTime : 20.03.2005 17:01:07 BasePriority : Normal FileVersion : 7.0.0.1167 ProductVersion : 7.0.0.1167 ProductName : RealOne Player (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks ATH Check App InternalName : rnathchk LegalCopyright : Copyright © RealNetworks, Inc. 1995-2002 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : rnathchk.EXE #:27 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 372 ThreadCreationTime : 20.03.2005 17:04:22 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Deep scanning and examining files (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Deep scanning and examining files (E »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for E:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Deep scanning and examining files (F »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for F:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Deep scanning and examining files (G »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for G:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Deep scanning and examining files (H »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for H:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 37 18:10:40 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:05:58.875 Objects scanned:162937 Objects identified:0 Objects ignored:0 New critical objects:0 ________________________________________________________________ Und hier das neue Hijackthis Log! Logfile of HijackThis v1.99.1 Scan saved at 18:16:02, on 20.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\NetPumper\NetPumperIEProxy.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=161235 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D88A688-7B3B-335F-3FE0-A4D23E413255} - (no file) O2 - BHO: (no name) - {C8860E6C-FE5A-7EE5-109C-8B1DA9F46944} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://lycos.midasplayer.com/midasa.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - http://www.flatcast.de/objects/NpFp412.dll O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe Dieser Beitrag wurde am 20.03.2005 um 18:18 Uhr von mrellas editiert.
|
|
|
||
20.03.2005, 18:24
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#9
Fixe mit dem HijackThis:
O2 - BHO: (no name) - {4D88A688-7B3B-335F-3FE0-A4D23E413255} - (no file) O2 - BHO: (no name) - {C8860E6C-FE5A-7EE5-109C-8B1DA9F46944} - (no file) neustarten scanne noch mal mit panda und loesche alles, was noch angezeigt wird. (dann berichte) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.03.2005, 21:28
...neu hier
Beiträge: 8 |
#10
Hallo Sabina,
ich glaub jetzt sollte alles wieder in Ordnung sein..computer läuft wieder schneller!! ))) Danke dir sehr für deine Hilfe...echt Spitze !!!!! Machst du sowas Beruflich oder wie kommst das du dich so gut auskennst?? Sag mal, wie alt bist du, wenn ich fragen darf ?!?! *nichtbösgefragt* Gruß Dimitris |
|
|
||
20.03.2005, 22:11
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#11
Hallo@mrellas
Ich bin so alt wie du --------------------------------------------------------------------------------------------------------------- hab ich vergessen: loesche das noch mit der Killboxsonst ist der Backdoor gleich wieder drauf) C:\System Volume Information\_restore{831B4031-92F5-4C36-81B8-499A99367474}\RP126\A0125228.EXE #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2005, 15:54
...neu hier
Beiträge: 8 |
#12
...mmmhmm..woher weiss du wie Alt ich bin??? bist du hellseher??
Oder hast du mir jetzt durch die ganzen sachen, die du mir gesagt hast ein Trojaner reingehaun???!!!! *mg* |
|
|
||
21.03.2005, 18:08
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#13
Trojaner hattest du genuegend, da muss man nicht noch einen reinschleusen.
Ich bin hier, um sie zu beseitigen Gruss und surfe mit mehr Sorgfalt, ALSO nicht ueberall draufklicken, wozu du aufgefordert wirst...... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2005, 19:06
...neu hier
Beiträge: 8 |
#14
Aha...dein Alter behälst du also für dich??? Schade!! Hätte gern gewusst mit wen ich hier spreche. Vielleicht gibst du dir doch ne ruck und verrätst es mir?!?! ;-)
______________________________________________________________ Aja noch was anderes, wenn ich mein Computer anschalte, bleib der PC hängen bevor er die Laufwerke automatisch erkennt, dann muss ich ihn durch langes drücken der Soft-Taste ausschalten und wieder einschalten, dann fuktionierts. Kannst du mir vielleicht sagen was das sein kann?? Gruß Dimitris Dieser Beitrag wurde am 21.03.2005 um 19:39 Uhr von mrellas editiert.
|
|
|
||
23.03.2005, 14:00
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#15
Hallo@mrellas
#Mach bitte erst einmal die WindowsUpdates (also SP2 laden) #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner + Fehlersuche #Dann ueberpruefe, ob deine Hardware richtig gejumpert ist, also richtig angeschlossen . __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich hab hier ein Hijack-Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:31:44, on 14.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\WINDOWS\SYSCFG16.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Jim.JIM-W3RB8WNQM37\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/ search.php?v=6&aff=277340
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/ index.php?v=6&aff=277340
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:// www.klamm.de/?id=161235
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D88A688-7B3B-335F-3FE0-A4D23E413255} - C:\WINDOWS\System32\avfsaepi.dll (file missing)
O2 - BHO: (no name) - {C8860E6C-FE5A-7EE5-109C-8B1DA9F46944} - C:\WINDOWS\System32\hbztedyq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG1
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:// C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http:/ /82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file:// c:\nosuxyz.mht!http://members.chello.at/karl.meindl/sniper/loud.chm::/bridge-c32.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http:// www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/ 52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - http:// www.flatcast.de/objects/NpFp412.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Miscrosoft Updates Service (MsUpdate) - Unknown owner - C:\WINDOWS\System32\msupd.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Habe mal den Log selbst ausweten lassen, z.B. sag es mir ich die datei C:\Program Files\Windows AdControl\WinAdCtl.exe fixen, aber diese kann ich die Datein im HijackThis nicht auswählen zu fixen! Was soll ich hier alles machen???
Danke !!!
__________
MfG Sabina
rund um die PC-Sicherheit