smart security +Backdoor.Win32.Haxdoor |
||
---|---|---|
#0
| ||
21.03.2005, 15:47
...neu hier
Beiträge: 1 |
||
|
||
24.03.2005, 19:01
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@niknok
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) Gehe in die REGISTRY (Start--> Ausfuehren--> regedit) HKLM\SYSTEM\CurrentControlSet\Services\memlow\<--mit rechtsklick loeschen HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\<--mit rechtsklick loeschen •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Meldung (Symantec)-- warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: ÓõíäÝóåéò Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) 11Fßä#·ºÄÖ`I Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ÓõíäÝóåéò R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {8DFA205E-18F5-B63D-E0A9-846F83DE2040} - C:\WINDOWS\apiuc32.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKLM\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe O4 - HKLM\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe O4 - HKLM\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe O4 - HKLM\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe O4 - HKLM\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe O4 - HKLM\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe O4 - HKLM\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe O4 - HKLM\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe O4 - HKLM\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe O4 - HKLM\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe O4 - HKLM\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe O4 - HKLM\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe O4 - HKLM\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe O4 - HKLM\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe O4 - HKLM\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe O4 - HKLM\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe O4 - HKLM\..\Run: [mfcmc.exe] C:\WINDOWS\mfcmc.exe O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKLM\..\RunOnce: [mfcng32.exe] C:\WINDOWS\mfcng32.exe O4 - HKCU\..\Run: [STManager] "C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe" -b O4 - HKCU\..\Run: [Deos] C:\Documents and Settings\Nikos\Application Data\uote.exe O4 - HKCU\..\Run: [Lokebt] C:\WINDOWS\System32\rõndll.exe O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe O4 - HKCU\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe O4 - HKCU\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe O4 - HKCU\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe O4 - HKCU\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe O4 - HKCU\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe O4 - HKCU\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe O4 - HKCU\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe O4 - HKCU\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe O4 - HKCU\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe O4 - HKCU\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe O4 - HKCU\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe O4 - HKCU\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe O4 - HKCU\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe O4 - HKCU\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe O4 - HKCU\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe O4 - HKCU\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c283.cab O16 - DPF: {B69F2A9C-E470-11D3-AFA3-525400DB7692} (Actimage Room Control) - http://lopes.armstrong.com/ib/databases/actimage40803.cab O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\systk32.exe" /s (file missing) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\mfcng32.exe C:\WINDOWS\System32\mszx23.exe C:\WINDOWS\System32\drct16.dll C:\WINDOWS\System32\p2.ini C:\WINDOWS\System32\klo5.sys C:\WINDOWS\System32\vdnt32.sys C:\WINDOWS\System32\klogini.dll C:\WINDOWS\System32\i.a3d C:\WINDOWS\System32\fltr.a3d C:\WINDOWS\System32\redir.a3d C:\WINDOWS\SYSTEM32\draw32.dll C:\WINDOWS\systk32.exe C:\WINDOWS\system32\xhgqj.dll C:\WINDOWS\apiuc32.dll C:\WINDOWS\System32\ntddetect.exe C:\WINDOWS\System32\Sbe.exe C:\WINDOWS\System32\Pls.exe C:\WINDOWS\System32\Hvo.exe C:\WINDOWS\System32\Qsu.exe C:\WINDOWS\System32\Lpa.exe C:\WINDOWS\System32\Cvt.exe C:\WINDOWS\System32\Dmk.exe C:\WINDOWS\System32\Bsv.exe C:\WINDOWS\System32\Jrh.exe C:\WINDOWS\System32\Mht.exe C:\WINDOWS\System32\Nti.exe C:\WINDOWS\System32\Ovu.exe C:\WINDOWS\System32\Ntj.exe C:\WINDOWS\System32\Fcl.exe C:\WINDOWS\System32\Eju.exe C:\WINDOWS\System32\Stb.exe C:\WINDOWS\mfcmc.exe C:\WINDOWS\System32\ntddetect.exe C:\WINDOWS\mfcng32.exe C:\Documents and Settings\Nikos\Application Data\uote.exe C:\WINDOWS\System32\rõndll.exe C:\WINDOWS\System32\ntddetect.exe C:\WINDOWS\System32\Sbe.exe C:\WINDOWS\System32\Pls.exe C:\WINDOWS\System32\Hvo.exe C:\WINDOWS\System32\Qsu.exe C:\WINDOWS\System32\Lpa.exe C:\WINDOWS\System32\Cvt.exe C:\WINDOWS\System32\Dmk.exe C:\WINDOWS\System32\Bsv.exe C:\WINDOWS\System32\Jrh.exe C:\WINDOWS\System32\Mht.exe C:\WINDOWS\System32\Nti.exe C:\WINDOWS\System32\Ovu.exe C:\WINDOWS\System32\Ntj.exe C:\WINDOWS\System32\Fcl.exe C:\WINDOWS\System32\Eju.exe C:\WINDOWS\System32\Stb.exe PC neustarten •L2mfix Laden Sie L2mfix von hier herunter: http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe • Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. • Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. • Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix • Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. • Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren) oder: durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! • Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[]. • Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. • Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. • L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! • Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. • Dies stellt die Winlogon Standardeinstellungen wieder her. • Posten Sie ein aktuelles HijackThis Log Onlinescanns http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2005, 10:30
Member
Beiträge: 11 |
#3
Hallo!
Habe das gleiche Problem und habe auch schon versucht eurer Anleitung zu folgen, allerdings stimmten bei mir schon die registry-einträge nicht mehr überein.Da ich mir das System nicht kaputt machen wollte, frage ich jetzt noch mal genau nach. Habe hier noch das logfile hijackthis. Vielen Dank schon mal im vorraus. Havoc Logfile:Logfile of HijackThis v1.99.1 Scan saved at 10:27:42, on 08.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\wavplay.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Floppy Master] C:\WINDOWS\wavplay.exe O4 - HKCU\..\Run: [Stv] C:\WINDOWS\system32\Afj.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.vxiframe.biz O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.vxiframe.biz (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 66.197.161.149 O15 - Trusted IP range: 66.197.161.149 (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{156DEE79-A483-42AD-9A5F-65E7C226B62F}: NameServer = 217.237.150.225 217.237.150.141 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
08.04.2005, 12:00
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Havoc
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKCU\..\Run: [Floppy Master] C:\WINDOWS\wavplay.exe O4 - HKCU\..\Run: [Stv] C:\WINDOWS\system32\Afj.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.vxiframe.biz O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.vxiframe.biz (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 66.197.161.149 O15 - Trusted IP range: 66.197.161.149 (HKLM) O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe PC neustarten Suchen--> rechteklick-->Eigenschaften+ Erstellungsdatum (poste mir die Daten) C:\WINDOWS\system32\Service.exe C:\WINDOWS\system32\Afj.exe C:\WINDOWS\wavplay.exe •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\Service.exe C:\WINDOWS\system32\Afj.exe C:\WINDOWS\wavplay.exe PC neustarten •Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten ----------------------------------------------------------------------------------------- •Online-Scann (Panda)--> berichte vom Scann http://www.pandasoftware.com/activescan/com/activescan_principal.htm backdoor.haxdoor.d-Entferner http://bilder.informationsarchiv.net/Nikitas_Tools/HSFix.zip 1. Extract the folder to C:\ 2. So now you have a folder C:\HSFIX 3. Boot to Safe mode 4. open the hsfix folder and Double click on hsfix.bat 5. You'll lose your desktop and taskbar. That's normal because This process kills explorer 6. Double click on hsfix.bat to run it again 7. reboot 8. Find this file :- C:\hslog.txt 9. Post its contents into your next reply 10. post a new hijackthis log •Download: StartDreck http://www.greyknight17.com/spy/StartDreck.zip Unzip to its own folder and start the program: Press 'Config' Press 'mark all' Press 'OK' Press 'Save' and select the location to save the log file (default is the same folder as the application) Press 'Save' and select the location to save the log file (default is the same folder as the application) http://bilder.informationsarchiv.net/Nikitas_Tools/StartDreck.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2005, 14:48
Member
Beiträge: 11 |
#5
Hi, hier ist der Teil der geforderten logdateien aus MWAV.
Danke Im vorraus Havoc Fri Apr 08 12:50:16 2005 => File C:\WINDOWS\Bgo.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 12:50:16 2005 => File C:\WINDOWS\desktop.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 12:50:16 2005 => File C:\WINDOWS\Dnn.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 12:50:19 2005 => File C:\WINDOWS\popup.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 12:50:59 2005 => File C:\WINDOWS\system32\init32m.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 12:51:58 2005 => File C:\WINDOWS\system32\vxgame3.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 12:51:58 2005 => File C:\WINDOWS\system32\vxh8jkdq6.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. Fri Apr 08 12:51:58 2005 => File C:\WINDOWS\system32\vxh8jkdq7.exe infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken. Fri Apr 08 12:52:10 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\1.qtdfmp infected by "Trojan-Downloader.Win32.Small.hx" Virus. Action Taken: No Action Taken. Fri Apr 08 12:52:10 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\6.qtdfmp infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. Fri Apr 08 12:52:10 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\7.qtdfmp infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken. Fri Apr 08 12:52:48 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\vx2.game infected by "Trojan-Downloader.Win32.Small.api" Virus. Action Taken: No Action Taken. Fri Apr 08 12:52:48 2005 => File C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\vx3.game infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 12:59:07 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\1.qtdfmp infected by "Trojan-Downloader.Win32.Small.hx" Virus. Action Taken: No Action Taken. Fri Apr 08 12:59:08 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\6.qtdfmp infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. Fri Apr 08 12:59:08 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\7.qtdfmp infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken. Fri Apr 08 12:59:53 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx2.game infected by "Trojan-Downloader.Win32.Small.api" Virus. Action Taken: No Action Taken. Fri Apr 08 12:59:53 2005 => File C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx3.game infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 13:20:18 2005 => File C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005448.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. Fri Apr 08 13:20:19 2005 => File C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005472.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. Fri Apr 08 13:22:20 2005 => File C:\Windows\Bgo.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 13:22:27 2005 => File C:\Windows\desktop.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 13:22:27 2005 => File C:\Windows\Dnn.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 13:37:33 2005 => File C:\Windows\popup.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 13:39:47 2005 => File C:\Windows\system32\init32m.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 13:41:15 2005 => File C:\Windows\system32\vxgame3.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 13:41:15 2005 => File C:\Windows\system32\vxh8jkdq6.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. Fri Apr 08 13:41:15 2005 => File C:\Windows\system32\vxh8jkdq7.exe infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken. Fri Apr 08 13:54:21 2005 => File D:\Daten alt\C\WINDOWS\Downloaded Program Files\MirarSetup.exe infected by "not-a-virus:AdWare.SaveNow.bj" Virus. Action Taken: No Action Taken. Fri Apr 08 13:56:15 2005 => File D:\Daten alt\C\WINDOWS\Startmenü\Programme\Autostart\netdb.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. Fri Apr 08 13:57:31 2005 => File D:\Daten alt\C\WINDOWS\SYSTEM\netdc.exe infected by "Trojan-Downloader.Win32.Small.oc" Virus. Action Taken: No Action Taken. Fri Apr 08 13:57:54 2005 => File D:\Daten alt\C\WINDOWS\SYSTEM\WinNB57.dll infected by "not-a-virus:AdWare.NetNucleus" Virus. Action Taken: No Action Taken. Fri Apr 08 13:58:18 2005 => File D:\Daten alt\C\WINDOWS\TEMP\loaderdobavka.exe infected by "Trojan-Downloader.Win32.Small.amq" Virus. Action Taken: No Action Taken. Fri Apr 08 13:58:18 2005 => File D:\Daten alt\C\WINDOWS\TEMP\MirarSetup.exe infected by "not-a-virus:AdWare.SaveNow.bj" Virus. Action Taken: No Action Taken. Fri Apr 08 13:59:53 2005 => File C:\WINDOWS\Bgo.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 13:59:59 2005 => File C:\WINDOWS\desktop.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 13:59:59 2005 => File C:\WINDOWS\Dnn.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 14:15:07 2005 => File C:\WINDOWS\popup.html infected by "Trojan-Clicker.Win32.Spywad.b" Virus. Action Taken: No Action Taken. Fri Apr 08 14:17:18 2005 => File C:\WINDOWS\system32\init32m.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 14:18:47 2005 => File C:\WINDOWS\system32\vxgame3.exe infected by "Trojan-Downloader.Win32.Agent.ho" Virus. Action Taken: No Action Taken. Fri Apr 08 14:18:47 2005 => File C:\WINDOWS\system32\vxh8jkdq6.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. Fri Apr 08 14:18:47 2005 => File C:\WINDOWS\system32\vxh8jkdq7.exe infected by "Trojan-Downloader.Win32.Small.aqu" Virus. Action Taken: No Action Taken. Fri Apr 08 14:19:20 2005 => ***** Checking for specific ITW Viruses ***** Fri Apr 08 14:19:20 2005 => Checking for Welchia Virus... Fri Apr 08 14:19:20 2005 => Checking for LovGate Virus... Fri Apr 08 14:19:20 2005 => Checking for CodeRed Virus... Fri Apr 08 14:19:20 2005 => Checking for OpaServ Virus... Fri Apr 08 14:19:20 2005 => Checking for Sobig.e Virus... Fri Apr 08 14:19:20 2005 => Checking for Winupie Virus... Fri Apr 08 14:19:20 2005 => Checking for Swen Virus... Fri Apr 08 14:19:20 2005 => Checking for JS.Fortnight Virus... Fri Apr 08 14:19:20 2005 => Checking for Novarg Virus... Fri Apr 08 14:19:20 2005 => Checking for Pagabot Virus... Fri Apr 08 14:19:20 2005 => Checking for Parite.b Virus... Fri Apr 08 14:19:20 2005 => Checking for Parite.a Virus... Fri Apr 08 14:19:20 2005 => ***** Scanning complete. ***** Fri Apr 08 14:19:20 2005 => Total Objects Scanned: 71500 Fri Apr 08 14:19:20 2005 => Total Virus(es) Found: 43 Fri Apr 08 14:19:20 2005 => Total Disinfected Files: 0 Fri Apr 08 14:19:20 2005 => Total Files Renamed: 0 Fri Apr 08 14:19:20 2005 => Total Deleted Objects: 0 Fri Apr 08 14:19:20 2005 => Total Errors: 7 Fri Apr 08 14:19:20 2005 => Time Elapsed: 01:29:48 Fri Apr 08 14:19:20 2005 => Virus Database Date: 2005/04/07 Fri Apr 08 14:19:20 2005 => Virus Database Count: 125034 Fri Apr 08 14:19:20 2005 => Scan Completed. Hier sind die Loag-Dateien von 1. backdoor: Ich konnte die Schritte 5-7 aus unerfindlichen gründen nicht ausführen. hier die logdatei, die er mir sofort angezeigt hat: Horseserver Removal Tool v1.05 by Atri - - 1. Registry Fix Started - Registry fix complete - 2. Deleted Services - - 3. Finding files Located on system - - 4. Deleting files that were found. - - 5. Checking for and Removing Winupdate - - - und hier die text-Datei, die im Ordner lag: DSMANA~1.DLL und außerdem die hijackthis-Log Logfile of HijackThis v1.99.1 Scan saved at 14:58:31, on 08.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Vielen Dank im vorraus Havoc PS: Als ich mir Panda von genannter Adresse runterladen wollte, hat mein Antivirenprogramm (Antivir) eine Trojanerwahrnung über die datei ausgespuckt!!!! Dieser Beitrag wurde am 08.04.2005 um 15:30 Uhr von Havoc editiert.
|
|
|
||
08.04.2005, 16:56
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Havoc
Loesche mit der Killbox: -------------------------------------------------------------------------------------------------------------------------------------------------- C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005448.exe C:\System Volume Information\_restore{B2482471-DF35-4094-86D3-41D285BA1DE9}\RP26\A0005472.exe C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\1.qtdfmp C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\6.qtdfmp C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\7.qtdfmp C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx2.game C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx3.game C:\WINDOWS\Bgo.html C:\WINDOWS\desktop.html C:\WINDOWS\Dnn.html C:\WINDOWS\popup.html C:\WINDOWS\system32\init32m.exe C:\WINDOWS\system32\vxgame3.exe C:\WINDOWS\system32\vxh8jkdq6.exe C:\WINDOWS\system32\vxh8jkdq7.exe D:\Daten alt\C\WINDOWS\Downloaded Program Files\MirarSetup.exe D:\Daten alt\C\WINDOWS\TEMP\loaderdobavka.exe D:\Daten alt\C\WINDOWS\SYSTEM\WinNB57.dll D:\Daten alt\C\WINDOWS\Startmenü\Programme\Autostart\netdb.exe D:\Daten alt\C\WINDOWS\SYSTEM\netdc.exe neustarten ueberpruefe, dass das hier geloescht ist: D:\Daten alt\C\WINDOWS\Downloaded Program Files\MirarSetup.exe D:\Daten alt\C\WINDOWS\TEMP\loaderdobavka.exe D:\Daten alt\C\WINDOWS\SYSTEM\WinNB57.dll D:\Daten alt\C\WINDOWS\Startmenü\Programme\Autostart\netdb.exe D:\Daten alt\C\WINDOWS\SYSTEM\netdc.exe C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\1.qtdfmp C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\6.qtdfmp C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\7.qtdfmp C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx2.game C:\Dokumente und Einstellungen\Kröger\Lokale Einstellungen\Temp\vx3.game •RAV ANTIVIRUS SCAN ONLINE--> poste das Ergebnis vom Scann http://www.ravantivirus.com/scan/index.php __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2005, 19:23
Member
Beiträge: 11 |
#7
Hier sind ist die log-datei vom Scan:
Scan started at 08.04.2005 18:42:53 Scanning memory... Scanning boot sectors... Scanning files... Scanned ============================ Objects: 47380 Directories: 4244 Archives: 6747 Size(Kb): -333886 Infected files: 0 Found ============================ Viruses found: 0 Suspicious files: 0 Disinfected files: 0 Mail files: 114 Die Datei Mirarsetup.exe war zwar aus dem ordner windows\download.... entfernt fand sich aber im Ordner Windows\Temp wieder Bitte um Anweisungen Danke Havoc |
|
|
||
09.04.2005, 00:05
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.04.2005, 09:48
Member
Beiträge: 11 |
#9
Morgen!
Hier das neue Hijcakthislog: Logfile of HijackThis v1.99.1 Scan saved at 09:46:10, on 09.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\KRGER~1\LOKALE~1\Temp\Rar$EX00.547\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{156DEE79-A483-42AD-9A5F-65E7C226B62F}: NameServer = 217.237.150.225 217.237.150.141 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Danke |
|
|
||
09.04.2005, 14:45
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Havoc
•RAV ANTIVIRUS SCAN ONLINE--> poste mir das Ergebnis vom Scann, bitte http://www.ravantivirus.com/scan/index.php __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2005, 18:29
Member
Beiträge: 11 |
#11
Scanned
============================ Objects: 36172 Directories: 2816 Archives: 6440 Size(Kb): 1919080 Infected files: 0 Found ============================ Viruses found: 0 Suspicious files: 0 Disinfected files: 0 Mail files: 69 |
|
|
||
10.04.2005, 18:32
Ehrenmitglied
Beiträge: 29434 |
#12
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2005, 20:56
Member
Beiträge: 11 |
#13
Ad-Aware SE Build 1.05
Logfile Created on:Sonntag, 10. April 2005 20:48:05 Using definitions file:SE1R37 07.04.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):26 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Ignore spanned files when scanning cab archives Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Block pop-ups aggressively Set : Automatically select problematic objects in results lists Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Show splash screen Set : Backup current definitions file before updating Set : Play sound at scan completion if scan locates critical objects 10.04.2005 20:48:05 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Kröger\recent Description : list of recently opened documents MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\applets\wordpad\recent file list Description : list of recent files opened using wordpad MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\applets\paint\recent file list Description : list of files recently opened using microsoft paint MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\player\recentfilelist Description : list of recently used files in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\internet explorer\typedurls Description : list of recently entered addresses in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\mediaplayer\medialibraryui Description : last selected node in the microsoft windows media player media library MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\winrar\dialogedithistory\extrpath Description : winrar "extract-to" history MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-3084404026-1285502934-4180654174-1006\software\microsoft\windows media\wmsdk\general Description : windows media sdk Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 592 ThreadCreationTime : 10.04.2005 18:47:04 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 664 ThreadCreationTime : 10.04.2005 18:47:05 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 688 ThreadCreationTime : 10.04.2005 18:47:06 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 732 ThreadCreationTime : 10.04.2005 18:47:06 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 744 ThreadCreationTime : 10.04.2005 18:47:06 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [ati2evxx.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 896 ThreadCreationTime : 10.04.2005 18:47:07 BasePriority : Normal #:7 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 908 ThreadCreationTime : 10.04.2005 18:47:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1000 ThreadCreationTime : 10.04.2005 18:47:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1116 ThreadCreationTime : 10.04.2005 18:47:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1164 ThreadCreationTime : 10.04.2005 18:47:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:11 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1228 ThreadCreationTime : 10.04.2005 18:47:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:12 [ati2evxx.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1540 ThreadCreationTime : 10.04.2005 18:47:08 BasePriority : Normal #:13 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1596 ThreadCreationTime : 10.04.2005 18:47:08 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:14 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1688 ThreadCreationTime : 10.04.2005 18:47:08 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:15 [toadimon.exe] FilePath : C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ ProcessID : 1872 ThreadCreationTime : 10.04.2005 18:47:11 BasePriority : Normal FileVersion : 2.16.10 ProductVersion : 2.00 ProductName : Marmiko IT-Solutions GmbH DialAssistent Component CompanyName : Marmiko IT-Solutions GmbH FileDescription : T-Online Verbindungsassistent InternalName : ToADiMon LegalCopyright : Copyright © Marmiko IT-Solutions GmbH 2000-2004, Copyright © T-Online International AG 2001-2004 OriginalFilename : ToADiMon.EXE #:16 [icqlite.exe] FilePath : C:\Programme\ICQLite\ ProcessID : 1880 ThreadCreationTime : 10.04.2005 18:47:11 BasePriority : Normal FileVersion : 20, 32, 2315, 0 ProductVersion : 20, 32, 2315, 0 ProductName : ICQLite CompanyName : ICQ Ltd. FileDescription : ICQLite InternalName : ICQ Lite LegalCopyright : Copyright (C) 2002 OriginalFilename : ICQLite.exe #:17 [avgnt.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1904 ThreadCreationTime : 10.04.2005 18:47:11 BasePriority : Normal #:18 [avguard.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 140 ThreadCreationTime : 10.04.2005 18:47:14 BasePriority : Normal #:19 [avwupsrv.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 152 ThreadCreationTime : 10.04.2005 18:47:14 BasePriority : Normal #:20 [ewidoctrl.exe] FilePath : C:\Programme\ewido\security suite\ ProcessID : 180 ThreadCreationTime : 10.04.2005 18:47:15 BasePriority : Normal FileVersion : 3, 0, 0, 1 ProductVersion : 3, 0, 0, 1 ProductName : ewido control CompanyName : ewido networks FileDescription : ewido control InternalName : ewido control LegalCopyright : Copyright © 2004 OriginalFilename : ewidoctrl.exe #:21 [ewidoguard.exe] FilePath : C:\Programme\ewido\security suite\ ProcessID : 200 ThreadCreationTime : 10.04.2005 18:47:15 BasePriority : Normal FileVersion : 3, 0, 0, 1 ProductVersion : 3, 0, 0, 1 ProductName : guard CompanyName : ewido networks FileDescription : guard InternalName : guard LegalCopyright : Copyright © 2004 OriginalFilename : guard.exe #:22 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 372 ThreadCreationTime : 10.04.2005 18:47:15 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:23 [wdfmgr.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 548 ThreadCreationTime : 10.04.2005 18:47:23 BasePriority : Normal FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act) ProductVersion : 5.2.3790.1230 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Windows User Mode Driver Manager InternalName : WdfMgr LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : WdfMgr.exe #:24 [xcommsvr.exe] FilePath : C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\ ProcessID : 652 ThreadCreationTime : 10.04.2005 18:47:24 BasePriority : Normal FileVersion : 1, 7, 0, 4 ProductVersion : 1, 7, 0, 4 ProductName : Softwin BitDefender Communicator Server CompanyName : Softwin FileDescription : BitDefender Communicator Server InternalName : XCOMMSVR LegalCopyright : Copyright © 2003-2004 Softwin OriginalFilename : xcommsvr.exe Comments : Manages communication between BitDefender components #:25 [bdss.exe] FilePath : C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\ ProcessID : 1036 ThreadCreationTime : 10.04.2005 18:47:25 BasePriority : Normal #:26 [wuauclt.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1056 ThreadCreationTime : 10.04.2005 18:47:25 BasePriority : Normal FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04) ProductVersion : 5.4.3790.2182 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Automatische Updates InternalName : wuauclt.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : wuauclt.exe #:27 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1492 ThreadCreationTime : 10.04.2005 18:47:34 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:28 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Professional\ ProcessID : 336 ThreadCreationTime : 10.04.2005 18:47:51 BasePriority : Normal FileVersion : 6.2.0.208 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 26 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 26 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 26 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 26 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 26 Deep scanning and examining files (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 26 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 26 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 26 20:54:09 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:06:03.922 Objects scanned:113267 Objects identified:0 Objects ignored:0 New critical objects:0 |
|
|
||
10.04.2005, 21:50
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@Havoc
Ich denke, dass nun alles o.k. ist Download the beta* of our new anti-spyware software today http://www.microsoft.com/athome/security/spyware/software/default.mspx __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2005, 23:33
Member
Beiträge: 11 |
#15
Hallo!
Erstmal vielen Dank für alles, allerdings kann ich meine rechte maustaste immernoch nicht nutzen und kann den desktophintergrund nicht ändern. Bitte um Hilfe bei der Beseitigung dieser Probleme. Danke im vorraus Havoc |
|
|
||
beim surfen im internet ist irgendiwe ein bild auf meinem pc und zwar als desktop hintergrund!
der bildschirm ist rot und in der mitte eine warnung Danger Spyware mit einem link der mich auf diese seite fuehrt http://www.smart-security.info/?affid=27
und das bekomme ich nicht weg habe auch schon alles probiert aber nichts.
und noch was auf dem desktop funktioniet auch nicht der rechtsklick von der maus. hier noch das logfile hijackthis
Bitte um hilfe weis nicht mehr weiter vielen Dank im voraus
Logfile of HijackThis v1.99.1
Scan saved at 4:28:01 ìì, on 21/3/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\WinFax\WFXMOD32.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\mfcng32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\WINDOWS\System32\ntddetect.exe
C:\WINDOWS\System32\Sbe.exe
C:\WINDOWS\mfcmc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe
C:\Documents and Settings\Nikos\Application Data\uote.exe
C:\WINDOWS\System32\rõndll.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhgqj.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ÓõíäÝóåéò
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8DFA205E-18F5-B63D-E0A9-846F83DE2040} - C:\WINDOWS\apiuc32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Ñáäéüöùíï - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe
O4 - HKLM\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe
O4 - HKLM\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe
O4 - HKLM\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe
O4 - HKLM\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe
O4 - HKLM\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe
O4 - HKLM\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe
O4 - HKLM\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe
O4 - HKLM\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe
O4 - HKLM\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe
O4 - HKLM\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe
O4 - HKLM\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe
O4 - HKLM\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe
O4 - HKLM\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe
O4 - HKLM\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe
O4 - HKLM\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe
O4 - HKLM\..\Run: [mfcmc.exe] C:\WINDOWS\mfcmc.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\RunOnce: [mfcng32.exe] C:\WINDOWS\mfcng32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STManager] "C:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe" -b
O4 - HKCU\..\Run: [Deos] C:\Documents and Settings\Nikos\Application Data\uote.exe
O4 - HKCU\..\Run: [Lokebt] C:\WINDOWS\System32\rõndll.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [Bdl] C:\WINDOWS\System32\Sbe.exe
O4 - HKCU\..\Run: [Phh] C:\WINDOWS\System32\Pls.exe
O4 - HKCU\..\Run: [Clq] C:\WINDOWS\System32\Hvo.exe
O4 - HKCU\..\Run: [Dns] C:\WINDOWS\System32\Qsu.exe
O4 - HKCU\..\Run: [Alb] C:\WINDOWS\System32\Lpa.exe
O4 - HKCU\..\Run: [Nrn] C:\WINDOWS\System32\Cvt.exe
O4 - HKCU\..\Run: [Vqq] C:\WINDOWS\System32\Dmk.exe
O4 - HKCU\..\Run: [Ijv] C:\WINDOWS\System32\Bsv.exe
O4 - HKCU\..\Run: [Fjr] C:\WINDOWS\System32\Jrh.exe
O4 - HKCU\..\Run: [Prl] C:\WINDOWS\System32\Mht.exe
O4 - HKCU\..\Run: [Kgo] C:\WINDOWS\System32\Nti.exe
O4 - HKCU\..\Run: [Jqc] C:\WINDOWS\System32\Ovu.exe
O4 - HKCU\..\Run: [Lsm] C:\WINDOWS\System32\Ntj.exe
O4 - HKCU\..\Run: [Nld] C:\WINDOWS\System32\Fcl.exe
O4 - HKCU\..\Run: [Fmu] C:\WINDOWS\System32\Eju.exe
O4 - HKCU\..\Run: [Gtt] C:\WINDOWS\System32\Stb.exe
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted IP range: 213.159.117.202
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c283.cab
O16 - DPF: {B69F2A9C-E470-11D3-AFA3-525400DB7692} (Actimage Room Control) - http://lopes.armstrong.com/ib/databases/actimage40803.cab
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O20 - Winlogon Notify: draw32 - C:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\systk32.exe" /s (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\System32\WFXSVC.EXE
[/b]