Immer diese Loading Website

#0
23.03.2005, 00:15
...neu hier

Beiträge: 1
#1 Logfile of HijackThis v1.99.1
Scan saved at 00:11:57, on 23.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\programme\valve\steam\steam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\totalcmd\TOTALCMD.EXE
C:\WINDOWS\regedit.exe
C:\DOKUME~1\Vuko\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\mvl4l93q1.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Habe die Problemzonen gefunden aber wenn ich auf Fix gehe sind die immernoch da.....
Seitenanfang Seitenende
24.03.2005, 16:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Vuko

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)

•LSPfix.exe
http://www.spychecker.com/program/lspfix.html
<"I know what I'm doing"<--anhaken

bringe die NEWDOT~2.DLL
von der linken auf die rechte Seite und loesche sie.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

PC neustarten

•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
NEWDOT/New.net

•L2mfix
Laden Sie L2mfix von hier herunter:
http://bilder.informationsarchiv.net/Nikitas_Tools/
http://www.atribune.org/downloads/l2mfix.exe

• Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.

• Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.

• Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix

• Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.

Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren)
oder:
durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

• Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[].

• Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.

• Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.

• L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread ...einfach mit der Maus abkopieren).

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

• Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].

• Dies stellt die Winlogon Standardeinstellungen wieder her.

•Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->


• Posten Sie ein aktuelles HijackThis Log

----------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 14:04
Member

Beiträge: 25
#3 Hallo habe das selbe problem wäre super net wenn mir einer hilft


Logfile of HijackThis v1.99.1
Scan saved at 13:54:30, on 30.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TWFya3Vz\command.exe
C:\PROGRA~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Aston\aston.exe
C:\Aston\XP\internat.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
D:\Programme\Razer\razertra.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Razer\razerhid.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Save\Save.exe
F:\Programme\iPod\bin\iPodService.exe
C:\Programme\802.11 Wireless LAN\WLAN PCI Adapter\RtlWake.exe
D:\Programme\ICQLite\ICQLite.exe
D:\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [razertra] D:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [okqf] C:\PROGRA~1\GEMEIN~1\okqf\okqfm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WLAN PCI Adapter.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122306829062
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\mvr4l99q1.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\dkvenum.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFya3Vz\command.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe
Seitenanfang Seitenende
30.12.2005, 17:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 cha0s


Start -- Ausführen -- schreib rein: cmd

sc stop Command Service

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Command Service

[klicke "enter"]

-----------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [okqf] C:\PROGRA~1\GEMEIN~1\okqf\okqfm.exe

O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\mvr4l99q1.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\dkvenum.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFya3Vz\command.exe

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
list.bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
notepad files.txt

-------------------------------------------------------------------------
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien ( 3 Monate vom Datum her)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 19:07
Member

Beiträge: 25
#5 ich weiß net ob ich es richtig verstanden habe aber ich hoffe mal ja also hier ist der auszug von 3monaten

Verzeichnis von C:\WINDOWS\system32

30.12.2005 18:52 237.045 guard.tmp
30.12.2005 18:43 235.771 hr8m05l1e.dll
30.12.2005 13:21 237.045 l4p2le7o1h.dll
30.12.2005 13:07 236.740 lv6u09j9e.dll
30.12.2005 00:10 237.145 m4pole731h.dll
29.12.2005 23:44 236.209 j8l40i3qe8.dll
29.12.2005 23:36 234.272 UDLMON.DLL
29.12.2005 23:36 235.023 dnns0157e.dll
29.12.2005 20:31 687.592 atmtd.dll._
29.12.2005 20:31 687.592 atmtd.dll

24.12.2005 11:20 2.184 wpa.dbl
17.12.2005 08:42 664 d3d9caps.dat
17.12.2005 08:42 552 d3d8caps.dat
02.12.2005 22:05 7.006 jupdate-1.5.0_06-b05.log
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
02.11.2005 00:44 127.574 tsuninst.exe
30.10.2005 10:57 383.254 perfh009.dat
30.10.2005 10:57 53.608 perfc009.dat
30.10.2005 10:57 394.500 perfh007.dat
30.10.2005 10:57 64.598 perfc007.dat
30.10.2005 10:57 906.552 PerfStringBackup.INI
29.10.2005 17:33 34.308 BASSMOD.dll
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
13.10.2005 00:11 118.784 sirenacm.dll
11.10.2005 00:42 30.208 usb496.dat
10.10.2005 23:50 3.082 affv6628p1now.sys
28.09.2005 22:29 693.248 DivX.dll
28.09.2005 22:29 688.128 divx_xx07.dll
28.09.2005 22:29 688.128 divx_xx0c.dll
28.09.2005 22:29 671.744 divx_xx11.dll


teil2
Verzeichnis von C:\DOKUME~1\CAPTAI~1\LOKALE~1\Temp

30.12.2005 19:03 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}3943.html
30.12.2005 19:02 512 ~DF3175.tmp
30.12.2005 19:02 16.384 ~DF3168.tmp
30.12.2005 19:02 512 ~DF3158.tmp
30.12.2005 19:02 16.384 ~DF314B.tmp
30.12.2005 19:02 16.384 ~DF312E.tmp
30.12.2005 19:02 512 ~DF311E.tmp
30.12.2005 19:02 16.384 ~DF3111.tmp
30.12.2005 19:02 512 ~DF313B.tmp
30.12.2005 19:02 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}2527.html
30.12.2005 18:59 16.384 ~DF55B3.tmp
30.12.2005 18:59 512 ~DF393B.tmp
30.12.2005 18:59 16.384 ~DF390A.tmp
30.12.2005 18:52 16.384 ~DFE487.tmp
30.12.2005 18:52 16.384 ~DFC4E4.tmp
15 Datei(en) 135.593 Bytes
0 Verzeichnis(se), 2.945.236.992 Bytes frei

teil3:

Verzeichnis von C:\WINDOWS

30.12.2005 18:58 1.073.002 WindowsUpdate.log
30.12.2005 18:44 0 0.log
30.12.2005 18:44 2.048 bootstat.dat
30.12.2005 13:25 49 NeroDigital.ini
30.12.2005 13:08 0 timessquare1.dat
29.12.2005 20:32 38 drsmartload.dat
29.12.2005 20:30 0 drsmartloadb1.dat
29.12.2005 20:30 40 teller2.chk
29.12.2005 20:29 1.024 ms1.exe
29.12.2005 20:29 2.033 hosts
29.12.2005 20:28 3.057 secure32.html
29.12.2005 20:28 0 uniq

29.12.2005 12:54 237.742 setupapi.log
29.12.2005 03:33 407.279 DirectX.log
28.12.2005 20:48 192 Winamp.ini
24.12.2005 15:34 63.679 wmsetup.log
22.12.2005 15:54 121 GEARInstall.log
20.12.2005 07:11 50 wiaservc.log
20.12.2005 07:11 216 wiadebug.log
19.12.2005 00:01 195 boxworld.ini
18.12.2005 21:53 316.640 WMSysPr9.prx
14.12.2005 00:14 356.352 eSellerateEngine.dll
03.12.2005 23:52 457.169 iis6.log
03.12.2005 23:52 117.321 comsetup.log
03.12.2005 23:52 70.118 ntdtcsetup.log
03.12.2005 23:52 151.744 tsoc.log
03.12.2005 23:52 3.869 imsins.log
03.12.2005 23:52 11.856 ocmsn.log
03.12.2005 23:52 141.876 ocgen.log
03.12.2005 23:52 16.004 msgsocm.log
03.12.2005 23:52 317.809 FaxSetup.log
03.12.2005 23:52 110.166 msmqinst.log
02.12.2005 22:31 843 Active Setup Log.txt
02.12.2005 22:27 985 Active Setup Log.BAK
02.12.2005 22:06 5.151 mozver.dat
28.10.2005 15:40 183.475 setupact.log
27.10.2005 12:49 1.393 imsins.BAK
27.10.2005 12:49 9.104 KB893803.log
30.09.2005 21:57 499 nsw.log


teil 4:

Verzeichnis von C:\

30.12.2005 19:07 0 sys.txt
30.12.2005 19:05 7.905 system.txt
30.12.2005 19:04 1.077 systemtemp.txt
30.12.2005 19:01 98.172 system32.txt
30.12.2005 18:54 1.759 files.txt
30.12.2005 18:43 805.306.368 pagefile.sys
29.12.2005 20:28 3.057 secure32.html
Dieser Beitrag wurde am 30.12.2005 um 19:12 Uhr von cha0s editiert.
Seitenanfang Seitenende
30.12.2005, 19:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
list.bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
notepad files.txt
--------------------------------------------------------------------------

Gehe in die Registry
Start-->Ausfuehren--> regedit
bearbeiten--> suchen--> CMDSERVICE

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\mvr4l99q1.dll
C:\WINDOWS\system32\hr8m05l1e.dll
C:\WINDOWS\system32\l4p2le7o1h.dll
C:\WINDOWS\system32\lv6u09j9e.dll
C:\WINDOWS\system32\m4pole731h.dll
C:\WINDOWS\system32\j8l40i3qe8.dll
C:\WINDOWS\system32\UDLMON.DLL
C:\WINDOWS\system32\dnns0157e.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\tsuninst.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.exe
C:\WINDOWS\timessquare1.dat
C:\WINDOWS\drsmartload.dat
C:\WINDOWS\drsmartloadb1.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\ms1.exe
C:\WINDOWS\hosts
C:\WINDOWS\secure32.html
C:\WINDOWS\uniq
C:\secure32.html

PC neustarten


L2MRemover.zip - Look2Me Remover
http://www.simplytech.it/L2MRemover/index_de.htm

Entpacke das Programm mit einem Ziptool
in den neu zu erstellenden Ordner C:\Programme\Look2meRemover.

1. Klicke auf die L2MRemover.exe, um das Programm zu starten.
2. Klicke auf "About" "Check for updates..." im Menu des Programms und aktualisiere das Programm.
3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen.

(Wenn es eine bekannte Variante der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem es den ST-Code während des Scannens in die Malware injiziert. Dann wird es die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.)

4. Betätige den "Delete Keys" Button, um die Registry von den Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem Neustart wieder neu auflädt.

(Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst du ein Häkchen setzen bei "Save before delete", damit ein Backuo-File *.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel neu erstellen möchtest.)

Hinweis: Der "Look2me Remover" entfernt nur die Variationen der Look2Me Malware, die seit November 2005 im Umlauf sind.

5. Speichere das Logfile des Removers. und poste sie hier

Hoster.zip -> anwenden
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

loesche:
C:\Programme\Save
C:\Programme\Gemeinsame Dateien\okqf
C:\WINDOWS\TWFya3Vz
-----------------------------------------------------------------------

dann kopiere noch mal die 4 Textdateien von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 19:46
Member

Beiträge: 25
#7 ich kann die schlüssel net löschen
Seitenanfang Seitenende
30.12.2005, 19:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

+

Zitat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
list.bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint


Zitat:
cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
dir "C:\Programme\Gemeinsame Dateien" >> files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 20:00
Member

Beiträge: 25
#9 und wohin soll ich das kopierte aus der list.bat einfügen?
Seitenanfang Seitenende
30.12.2005, 20:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 mein Gott...hier natuerlich ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 20:02
Member

Beiträge: 25
#11 aso sry tut mir leid

also hier das aus der list.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E479-4804

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web
29.12.2005 22:58 71.680 ibm00003.dll
29.12.2005 22:58 53.760 ibm00004.dll
11.07.2003 01:15 1.292.872 MSONSEXT.DLL
14.07.2003 21:52 35.896 MSOSV.DLL
19.03.1999 07:46 127.032 MSOWS407.DLL
04.06.1999 00:09 122.937 MSOWS409.DLL
11.07.2003 01:25 80.448 PKMWS.DLL
7 Datei(en) 1.784.625 Bytes
4 Verzeichnis(se), 2.733.654.016 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E479-4804

Verzeichnis von C:\Programme\Gemeinsame Dateien


29.12.2005 23:43 <DIR> okqf
25.07.2005 16:45 <DIR> SpeechEngines
25.07.2005 16:16 <DIR> Symantec Shared
25.07.2005 19:58 <DIR> System
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 2.733.649.920 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E479-4804
Seitenanfang Seitenende
30.12.2005, 20:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nun arbeite alles weitere ab und

Zitat

5. Speichere das Logfile des Removers. und poste sie hier

Hoster.zip -> anwenden
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

loesche:
C:\Programme\Save
C:\Programme\Gemeinsame Dateien\okqf
C:\WINDOWS\TWFya3Vz
-----------------------------------------------------------------------

dann kopiere noch mal die 4 Textdateien von datfindbat

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 22:26
Member

Beiträge: 25
#13 also habe alles gemacht hier sidn die 4 datfind.bat

Verzeichnis von C:\WINDOWS\system32

30.12.2005 22:13 234.169 guard.tmp
30.12.2005 22:13 235.771 SBDOCLC.DLL
30.12.2005 22:04 234.213 k6260gfse6260.dll
30.12.2005 22:03 687.592 atmtd.dll
30.12.2005 22:03 687.592 atmtd.dll._
30.12.2005 21:21 235.771 l8p2li7o18.dll
30.12.2005 21:05 235.771 dov11.dll
30.12.2005 21:05 234.163 n0l8la3u1d.dll
30.12.2005 18:52 237.045 k2pmlc711f.dll
30.12.2005 13:07 236.740 lv6u09j9e.dll

24.12.2005 11:20 2.184 wpa.dbl
17.12.2005 08:42 664 d3d9caps.dat
17.12.2005 08:42 552 d3d8caps.dat
02.12.2005 22:05 7.006 jupdate-1.5.0_06-b05.log
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
30.10.2005 10:57 383.254 perfh009.dat
30.10.2005 10:57 394.500 perfh007.dat
30.10.2005 10:57 53.608 perfc009.dat
30.10.2005 10:57 64.598 perfc007.dat
30.10.2005 10:57 906.552 PerfStringBackup.INI
29.10.2005 17:33 34.308 BASSMOD.dll
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
13.10.2005 00:11 118.784 sirenacm.dll
11.10.2005 00:42 30.208 usb496.dat
10.10.2005 23:50 3.082 affv6628p1now.sys
28.09.2005 22:29 693.248 DivX.dll
28.09.2005 22:29 688.128 divx_xx07.dll
28.09.2005 22:29 688.128 divx_xx0c.dll
28.09.2005 22:29 671.744 divx_xx11.dll

2 teil:

Verzeichnis von C:\DOKUME~1\CAPTAI~1\LOKALE~1\Temp

30.12.2005 22:19 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}16307.html
30.12.2005 22:14 16.384 ~DFEB4B.tmp
30.12.2005 22:14 512 ~DF9E17.tmp
30.12.2005 22:14 16.384 ~DF9E06.tmp
30.12.2005 22:11 16.384 ~DF79BD.tmp
30.12.2005 22:08 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}16184.html
30.12.2005 22:05 16.384 ~DFF9D8.tmp
30.12.2005 22:05 512 ~DFF9C8.tmp
30.12.2005 22:05 16.384 ~DFF9B6.tmp
30.12.2005 22:05 512 ~DFF9E5.tmp
30.12.2005 22:05 512 ~DFF9A3.tmp
30.12.2005 22:05 16.384 ~DFF996.tmp
30.12.2005 22:05 16.384 ~DFF979.tmp
30.12.2005 22:05 512 ~DFF986.tmp
30.12.2005 22:04 16.384 ~DFACCE.tmp
30.12.2005 22:04 512 ~DF8A0E.tmp
30.12.2005 22:04 16.384 ~DF89A0.tmp
30.12.2005 21:53 2.128 dating03.rgn
30.12.2005 21:49 16.384 ~DF6473.tmp
30.12.2005 21:43 3.216 internet05.rgn
30.12.2005 21:33 1.030 jusched.log
30.12.2005 21:33 6.384 scale02.rgn
30.12.2005 21:27 16.384 ~DF838D.tmp
30.12.2005 21:24 16.384 ~DFF33E.tmp
30.12.2005 21:24 16.384 ~DFF1EF.tmp
30.12.2005 21:24 16.384 ~DFF1BE.tmp
30.12.2005 21:24 16.384 ~DFF1A1.tmp
30.12.2005 21:23 16.384 ~DFB6B1.tmp
30.12.2005 21:23 16.384 ~DFA68E.tmp
30.12.2005 21:16 6.816 newsanytimeregion.rgn
30.12.2005 21:14 16.384 ~DF8EE4.tmp
30.12.2005 21:13 16.384 ~DF94D.tmp
30.12.2005 21:05 16.384 ~DF4CE4.tmp
30.12.2005 21:05 16.384 ~DF1F1D.tmp
30.12.2005 21:02 16.384 ~DF2A05.tmp
30.12.2005 21:00 512 ~DFB495.tmp
30.12.2005 21:00 16.384 ~DFB485.tmp
30.12.2005 21:00 16.384 ~DFB461.tmp
30.12.2005 21:00 512 ~DFB475.tmp
30.12.2005 21:00 512 ~DFB451.tmp
30.12.2005 21:00 16.384 ~DFB422.tmp
30.12.2005 21:00 512 ~DFB412.tmp
30.12.2005 21:00 16.384 ~DFB3FE.tmp
30.12.2005 21:00 16.384 ~DFCF98.tmp
30.12.2005 21:00 512 ~DF3DE4.tmp
30.12.2005 21:00 16.384 ~DF3D9A.tmp
30.12.2005 20:57 16.384 ~DFA5F1.tmp
30.12.2005 19:54 16.384 ~DFBAC5.tmp
30.12.2005 19:54 16.384 ~DFBA99.tmp
30.12.2005 19:54 16.384 ~DFBA6C.tmp
30.12.2005 19:54 16.384 ~DFBA35.tmp
30.12.2005 19:28 16.384 ~DF95DA.tmp
30.12.2005 19:28 16.384 ~DF6936.tmp
30.12.2005 19:02 16.384 ~DF3168.tmp
30.12.2005 19:02 16.384 ~DF314B.tmp
30.12.2005 19:02 16.384 ~DF3111.tmp
30.12.2005 19:02 16.384 ~DF312E.tmp
30.12.2005 18:59 16.384 ~DF55B3.tmp
30.12.2005 18:59 16.384 ~DF390A.tmp
59 Datei(en) 698.911 Bytes
0 Verzeichnis(se), 2.925.105.152 Bytes frei

teil 3:

Verzeichnis von C:\WINDOWS

30.12.2005 22:14 0 0.log
30.12.2005 22:14 1.421.885 WindowsUpdate.log
30.12.2005 22:13 2.048 bootstat.dat
30.12.2005 20:58 50 wiaservc.log
30.12.2005 20:58 214 wiadebug.log
30.12.2005 13:25 49 NeroDigital.ini
29.12.2005 12:54 237.742 setupapi.log
29.12.2005 03:33 407.279 DirectX.log
28.12.2005 20:48 192 Winamp.ini
24.12.2005 15:34 63.679 wmsetup.log
22.12.2005 15:54 121 GEARInstall.log
19.12.2005 00:01 195 boxworld.ini
18.12.2005 21:53 316.640 WMSysPr9.prx
14.12.2005 00:14 356.352 eSellerateEngine.dll
03.12.2005 23:52 457.169 iis6.log
03.12.2005 23:52 117.321 comsetup.log
03.12.2005 23:52 70.118 ntdtcsetup.log
03.12.2005 23:52 151.744 tsoc.log
03.12.2005 23:52 3.869 imsins.log
03.12.2005 23:52 11.856 ocmsn.log
03.12.2005 23:52 141.876 ocgen.log
03.12.2005 23:52 16.004 msgsocm.log
03.12.2005 23:52 317.809 FaxSetup.log
03.12.2005 23:52 110.166 msmqinst.log
02.12.2005 22:31 843 Active Setup Log.txt
02.12.2005 22:27 985 Active Setup Log.BAK
02.12.2005 22:06 5.151 mozver.dat
28.10.2005 15:40 183.475 setupact.log
27.10.2005 12:49 1.393 imsins.BAK
27.10.2005 12:49 9.104 KB893803.log
30.09.2005 21:57 499 nsw.log
26.09.2005 20:16 99.970 UninstallFirefox.exe

teil4:

Verzeichnis von C:\

30.12.2005 22:23 0 sys.txt
30.12.2005 22:22 7.513 system.txt
30.12.2005 22:22 3.248 systemtemp.txt
30.12.2005 22:22 98.123 system32.txt
30.12.2005 22:13 805.306.368 pagefile.sys
30.12.2005 20:00 7.036 files.txt
25.07.2005 15:58 0 AUTOEXEC.BAT
25.07.2005 15:58 0 CONFIG.SYS
25.07.2005 15:58 0 IO.SYS
25.07.2005 15:58 0 MSDOS.SYS
25.07.2005 15:52 194 boot.ini
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 45.124 NTDETECT.COM
18.08.2001 13:00 224.032 ntldr
14 Datei(en) 805.696.590 Bytes
0 Verzeichnis(se), 2.925.105.152 Bytes frei
Seitenanfang Seitenende
30.12.2005, 22:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Schritt 1 :
Erstelle eine neue Datei C:\bad

Schritt 2 :
Start - Ausführen - cmd (reinschreiben)

kopiere in das DOS-Fenster:
-- und klicke jedes Mal -- [enter]

move C:\WINDOWS\system32\guard.tmp C:\bad
move C:\WINDOWS\system32\SBDOCLC.DLL C:\bad
move C:\WINDOWS\system32\k6260gfse6260.dll C:\bad
move C:\WINDOWS\system32\mshlp.exe C:\bad
move C:\WINDOWS\system32\atmtd.dll C:\bad
move C:\WINDOWS\system32\atmtd.dll._ C:\bad
move C:\WINDOWS\system32\l8p2li7o18.dll C:\bad
move C:\WINDOWS\system32\dov11.dll C:\bad
move C:\WINDOWS\system32\n0l8la3u1d.dll C:\bad
move C:\WINDOWS\system32\k2pmlc711f.dll C:\bad
move C:\WINDOWS\system32\lv6u09j9e.dll C:\bad


Schritt 3 :
C:\bad loeschen

-----------------
wende noch mal clean up an
http://virus-protect.org/cleanup.html

L2MRemover.zip - Look2Me Remover

http://www.simplytech.it/L2MRemover/index_de.htm

Entpacke das Programm mit einem Ziptool
in den neu zu erstellenden Ordner C:\Programme\Look2meRemover.

1. Klicke auf die L2MRemover.exe, um das Programm zu starten.
2. Klicke auf "About" "Check for updates..." im Menu des Programms und aktualisiere das Programm.
3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen.

(Wenn es eine bekannte Variante der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem es den ST-Code während des Scannens in die Malware injiziert. Dann wird es die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.)

4. Betätige den "Delete Keys" Button, um die Registry von den Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem Neustart wieder neu auflädt.

(Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst du ein Häkchen setzen bei "Save before delete", damit ein Backuo-File *.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel neu erstellen möchtest.)

Hinweis: Der "Look2me Remover" entfernt nur die Variationen der Look2Me Malware, die seit November 2005 im Umlauf sind.

5. Speichere das Logfile des Removers. und poste sie hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 23:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 unaufhoerlich oder nur das eine mal um zu scannen ?

Zitat

so habe alle sgemacht
L2MRemover ausgeführt aber danach kann ich nichts mehr machen dann fährt der pc von alleine runter und wieder hoch

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: