Hijacker - Fast alles entfernt, rechte Maustaste funktioniert nur noch nicht |
||
---|---|---|
#0
| ||
06.04.2005, 13:50
Ehrenmitglied
Beiträge: 29434 |
||
|
||
08.04.2005, 12:58
Member
Themenstarter Beiträge: 16 |
#17
@Sabina
Hallo, sorry, kann mich heute erst melden. hier das Logfile von AboutBuster: Scanned at: 12:35:05 on: 08.04.2005 -- Scan 1 --------------------------- About:Buster Version 4.0 Reference List : 25 No ADS found on system Attempted Clean Of Temp folder. Pages Reset... Done! -- Scan 2 --------------------------- About:Buster Version 4.0 Reference List : 25 No ADS found on system Attempted Clean Of Temp folder. Pages Reset... Done! Ich habe die Dateien, die Du mir genannt hast versucht zu löschen. Einige hat die KillBox nicht gefunden, bzw. die waren nicht auf meinem System. Folgende Dateien kommen mir noch verdächtig vor: C:\WINNT\System32\bln02nqv.exe<--Adware C:\WINNT\System32\a95kfrhe.exe<---AdWare.Sahat.o C:\WINNT\System32\kdlmjh8r.dat ? C:\WINNT\System32\tm97pj39.dat ? C:\WINNT\System32\p1fumi62.dat ? C:\WINNT\System32\goreggbk.dat ? C:\WINNT\System32\b315cfed.dat ? C:\WINNT\System32\rmoc3260.dll<--RealPlayer C:\WINNT\System32\pndx5032.dll<--Treiber C:\WINNT\System32\pndx5016.dll<--Treiber C:\WINNT\System32\pncrt.dll<--RealPlayer C:\WINNT\System32\qh4mkbv9.dll<---AdWare.Sahat.l. Ansonsten funktioniert die rechte Maustaste immer noch nicht. Über Systemsteuerung->Anzeige->Hintergrund sind alle Buttons grau unterlegt, so dass ich kein anderes Hintergrundbild wählen kann. Über Systemsteuerung->Anzeige->Web kann ich das Häckchen bei "Webinhalte auf dem aktiven Desktop anzeigen" nicht wegmachen, da auch dieses Feld grau hinterlegt ist. Gibt es sonst noch eine Möglichkeit, mein System wieder herzustellen? Ich danke Dir für Deine Mühe. ---------------------------------------------------------------------------------- |
|
|
||
08.04.2005, 13:28
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo@
C:\WINNT\System32\bln02nqv.exe<--Adware C:\WINNT\System32\a95kfrhe.exe<---AdWare.Sahat.o C:\WINNT\System32\kdlmjh8r.dat ? C:\WINNT\System32\tm97pj39.dat ? C:\WINNT\System32\p1fumi62.dat ? C:\WINNT\System32\goreggbk.dat ? C:\WINNT\System32\b315cfed.dat ? C:\WINNT\System32\rmoc3260.dll<--RealPlayer C:\WINNT\System32\pndx5032.dll<--Treiber C:\WINNT\System32\pndx5016.dll<--Treiber C:\WINNT\System32\pncrt.dll<--RealPlayer C:\WINNT\System32\qh4mkbv9.dll<---AdWare.Sahat.l. --------------------------------------- LOESCHE, falls es da ist: C:\WINNT\system32\ap9h4qmo.exe C:\WINNT\system32\q17i9a4j.exe C:\WINNT\system32\qh4mkbv9.dll C:\WINNT\System32\a95kfrhe.exe C:\WINNT\System32\bln02nqv.exe C:\WINNT\System32\kdlmjh8r.dat C:\WINNT\System32\tm97pj39.dat C:\WINNT\System32\p1fumi62.dat C:\WINNT\System32\goreggbk.dat C:\WINNT\System32\b315cfed.dat C:\WINNT\saap_gdf.dat C:\WINNT\saap_kyf.dat C:\WINNT\saappau.dat C:\WINNT\saap.log C:\WINNT\wininit.ini C:\WINNT\exdl.exe C:\WINNT\exul.exe C:\WINNT\ahadp.exe C:\WINNT\ADP803~1.EXE C:\WINNT\system32\javexulm.vxd C:\temp\salm.log: C:\temp\salmau.dat C:\temp\salmhook.dll •C:\WINNT\system32\FNTCACHE.dat •C:\WINNT\system32\perflibs_ •C:\WINNT\system32\ap2nqrd4.dat •C:\WINNT\system32\a95kfrhe.ini • C:\WINNT\system32\ap2nqrd4.dat • C:\WINNT\system32\ap9h4qmo.ini • C:\WINNT\system32\baur5s9q.dat • C:\WINNT\system32\bqrufs5f.dat • C:\WINNT\system32\p1vmi8n5.html • C:\WINNT\system32\q10pvbrv.dat • C:\WINNT\system32\q10pvbrv.dat • C:\WINNT\system32\q17i9a4j.ini • C:\WINNT\system32\qh4mkbv9.dll • C:\WINNT\system32\ritsacnk.dat • C:\WINNT\system32\u8jbdoj1.html •RAV ANTIVIRUS SCAN ONLINE-->berichte vom Scann http://www.ravantivirus.com/scan/index.php •Online-Scann (Panda)-->berichte vom Scann http://www.pandasoftware.com/activescan/com/activescan_principal.htm --------------------------------------------------------------------------- •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2005, 14:15
Member
Themenstarter Beiträge: 16 |
#19
@Sabina
ich werde Deine Anweisungen gleich durchführen, habe aber vorher noch eine Frage: Ich habe einen RegCleaner laufen lassen und bei Software folgende Einträge gefunden: Autor : [Unbekannt] Software : AdTools Service Alter : Alt Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht HKEY_LOCAL_MACHINE\Software\AdTools Service Autor : ASProtect Software : SpecData Alter : Alt Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht HKEY_CURRENT_USER\Software\ASProtect\SpecData Autor : DragonFly Software : Sinedot Shader Alter : Alt Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht HKEY_LOCAL_MACHINE\Software\DragonFly\Sinedot Shader Autor : GTek Software : GTUpdate Alter : Alt Wenn Sie diesen Eintrag löschen, werden folgende Schlüssel gelöscht HKEY_CURRENT_USER\Software\GTek\GTUpdate\AUpdate HKEY_CURRENT_USER\Software\GTek\GTUpdate Autor : [Unbekannt] Software : saap Alter : Alt Wenn Sie diesen Eintrag löschen, werden folgende Schlüssel gelöscht HKEY_CURRENT_USER\Software\saap HKEY_LOCAL_MACHINE\Software\saap Autor : Sensaura Software : Environment Alter : Alt Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht HKEY_LOCAL_MACHINE\Software\Sensaura\Environment Autor : Sensaura Software : Speaker Alter : Alt Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht HKEY_LOCAL_MACHINE\Software\Sensaura\Speaker So, dann über Tools->Gemeinsam genutzte DLL´s (die gefahrlos gelöscht werden können) finde ich unter Pfad einen Ordner, der bei mir gar nicht vorhanden ist: C:\Programme\bilder\About\info\SPAIN Jedesmal steht eine andere Länderkennung dahinter und die Dateien heißen z.B. company.htm, mulilic.htm, register.txt Kannst Du damit was anfangen? |
|
|
||
08.04.2005, 14:25
Ehrenmitglied
Beiträge: 29434 |
#20
loesche alles mit dem Regcleaner vor allem:
HKEY_LOCAL_MACHINE\Software\AdTools Service HKEY_CURRENT_USER\Software\saap HKEY_LOCAL_MACHINE\Software\saap loeschen: C:\Programme\bilder\About\info\SPAIN company.htm, mulilic.htm, register.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2005, 16:01
Member
Themenstarter Beiträge: 16 |
#21
Hi Sabina,
hier schon mal die Scann von: Rav Antivurus Online Scan started at 08.04.2005 14:26:20 Scanning memory... Scanning boot sectors... Scanning files... C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Afo.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ald.exe.q_1C32601_q - TrojanClicker:Win32/Spywad.B -> Infected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ibf.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Pkd.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tad.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tvi.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Uud.exe.q_63A2601_q - TrojanClicker:Win32/Spywad.B -> Infected C:\Messetermine\direkt.exe - ToolornDialer.IE -> Infected C:\Messetermine\DirektDialer.exe - ToolornDialer.IE -> Infected Scanned ============================ Objects: 59593 Directories: 4127 Archives: 1804 Size(Kb): -1130446 Infected files: 9 Found ============================ Viruses found: 2 Suspicious files: 0 Disinfected files: 0 Mail files: 510 Panda Incident Status Location Adware:Adware/nCase No disinfected Windows Registry Spyware:Spyware/Harnig No disinfected C:\WINNT\Downloaded Program Files\load.exe Adware:Adware/MediaTickets No disinfected Windows Registry Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Afo.exe.q_63A2601_q Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ald.exe.q_1C32601_q Adware:Adware/CWS.Searchmeup No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\dsmanager.dll.q_63A6600_q Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ibf.exe.q_63A2601_q Virus:Trj/Downloader.BJP Disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\ixukffnc.dll.q_63A8002_q Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Pkd.exe.q_63A2601_q Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tad.exe.q_63A2601_q Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Tvi.exe.q_63A2601_q Spyware:Spyware/Slimield No disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Uud.exe.q_63A2601_q Adware:Adware/SAHAgent No disinfected C:\RECYCLER\S-1-5-21-1123561945-527237240-682003330-500\Dc3.dll Adware:Adware/Startpage.CN No disinfected C:\WINNT\webdlg32.dll Adware:Adware/SBSoft No disinfected C:\WINNT\webdlg32.inf Adware:Adware/Popup.pop No disinfected C:\WINNT\winsx.dll Adware:Adware/Popup.pop No disinfected C:\WINNT\winsx.inf Die Scanns haben etwas gedauert. Bin gerade dabei eScan in DOS upzudaten. Die Registryeinträge, die Du mir genannt hast, habe ich auch gelöscht. Kannst Du mit den beiden Scanns was anfangen? Es ist ja so einiges infiziert. |
|
|
||
08.04.2005, 16:39
Ehrenmitglied
Beiträge: 29434 |
#22
Hallo@
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\<--loeschen C:\Messetermine <--loeschen (ist ein Dialer) sowie alles, was damit in Verbindung steht loesche mit der KIllbox: C:\RECYCLER\S-1-5-21-1123561945-527237240-682003330-500\Dc3.dll C:\WINNT\Downloaded Program Files\load.exe C:\WINNT\webdlg32.dll C:\WINNT\winsx.dll C:\WINNT\winsx.inf C:\Messetermine\direkt.exe C:\Messetermine\DirektDialer.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2005, 12:13
Member
Themenstarter Beiträge: 16 |
#23
Hallo Sabina,
hier bin ich wieder! OK, ich habe alle Datein, die Du mir oben genannt hast gelöscht. Außerdem habe ich ein wenig im System rumgestöbert und Dateien gelöscht, mit denen ich nichts anfangen konnte. Mein System läuft noch, also scheint alles ok zu sein ;-). Die Datei: C:\WINNT\Downloaded Program Files\load.exe konnte ich nicht finden, die wird aber bei dem Scan von eScan angezeigt. Hier die infizierten Dateien von dem eScan Scan: Mon Apr 11 10:09:35 2005 => System found infected with ameopt Spyware/Adware! Action taken: No Action Taken. Mon Apr 11 10:09:35 2005 => File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 11 10:09:35 2005 => System found infected with kapabout Spyware/Adware! Action taken: No Action Taken. Mon Apr 11 10:09:35 2005 => File System Found infected by "kapabout Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 11 10:09:38 2005 => System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: No Action Taken. Mon Apr 11 10:09:38 2005 => File System Found infected by "peopleonpage Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 11 10:52:21 2005 => File C:\WINNT\Downloaded Program Files\load.exe infected by "Trojan-Downloader.Win32.Small.aod" Virus. Action Taken: No Action Taken. Zusammenfassung: Mon Apr 11 11:36:54 2005 => ***** Scanning complete. ***** Mon Apr 11 11:36:54 2005 => Total Objects Scanned: 78396 Mon Apr 11 11:36:54 2005 => Total Virus(es) Found: 14 Mon Apr 11 11:36:54 2005 => Total Disinfected Files: 0 Mon Apr 11 11:36:54 2005 => Total Files Renamed: 0 Mon Apr 11 11:36:54 2005 => Total Deleted Objects: 0 Mon Apr 11 11:36:54 2005 => Total Errors: 14 Mon Apr 11 11:36:54 2005 => Time Elapsed: 01:27:50 Mon Apr 11 11:36:54 2005 => Virus Database Date: 2005/04/07 Mon Apr 11 11:36:54 2005 => Virus Database Count: 125034 Mon Apr 11 11:36:54 2005 => Scan Completed. OK, dass war´s. Hoffe, dass Du mir weiterhin weiter helfen kannst! Noch einmal vielen dank für Deine Mühe. Grüße pepsen |
|
|
||
11.04.2005, 15:01
Ehrenmitglied
Beiträge: 29434 |
#24
Hallo@ pepsen
ameopt Spyware/Adware DyFuCA.InternetOptimizer: Settings (Registry key, fixing failed) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt DyFuCA.InternetOptimizer: Settings (Registry key, fixing failed) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt Downloader.Dyfuca, TrojanDownloader.Win32.Dyfuca Related files: Wsem.dll, stmtdlr.exe, COMEDY.EXE, NEM211.DLL, OPTIMIZE.EXE, VIEW-M~1.EXE, actalert.exe, msbb.exe, optimize.exe, saie.exe Delete registry values: HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} Delete files: Wsem.dll, stmtdlr.exe, COMEDY.EXE, NEM211.DLL, OPTIMIZE.EXE, VIEW-M~1.EXE, actalert.exe Delete directories: \DyFuCA ~~~~~~~~~~~~~~~~~~~~~~~~ HKEY_USERS\S-1-5-18\Software\salm HKEY_USERS\Default\Software\salm ------------------------------------------------------------------------------ Spyware/Adware http://www.sophos.de/virusinfo/analyses/trojdloaderkb.html HKCR\CLSID\(1E5E0D38-214B-4085-AD2A-D2290E6A2D2C) HKCR\TypeLib\(15696AE2-6EA4-47F4-BEA6-A3D32693EFC7) HKCR\CLSID\(1E5E0D38-214B-4085-AD2A-D2290E6A2D2C) HKCR\TypeLib\(15696AE2-6EA4-47F4-BEA6-A3D32693EFC7) HKCR\MediaAccess.Installer HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Media Access HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Media Access HKCR\SOFTWARE\Media Access HKCR\MediaPassX.Installer HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Media Pass HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Media Pass HKCR\SOFTWARE\Media Pass HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Admanager Controller HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Admanager Controller HKCR\SOFTWARE\Admanager Controller HKCR\PrevAdX.Installer HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Preview AdService HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Preview AdService HKCR\SOFTWARE\Preview AdService HKCR\AdStatX.Installer HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Windows AdStatus HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows AdStatus HKCR\SOFTWARE\Windows AdStatus HKCR\AdToolsX.Installer HKCR\CLSID\(15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6) HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\AdTools Service HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AdTools Service HKCR\SOFTWARE\AdTools Service HKLM\interface\(4e570f74-deee-4fcf-b960-feefa4b8c6fc) HKLM\software\microsoft\code store database\distribution units\(15ad4789-cdb4-47e1-a9da-992ee8e6bad6) HKLM\software\winsock2\layered provider sample interface\(4828c95f-c5db-4ab6-a945-8d8ec44b98a8) HKLM\software\policies\avenue media HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\(00000010-6f7d-442c-93e3-4a4827c2e4c8) HKLM\software\avenue media HKLM\software\microsoft\windows\currentversion\Uninstall\Internet Optimizer HKLM\software\microsoft\windows\currentversion\uninstall\dyfuca HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\microsoft\windows\currentversion\uninstall\Internet Optimizer HKU\S-1-5-20\software\microsoft\windows\currentversion\uninstall\Internet Optimizer HKU\S-1-5-19\software\microsoft\windows\currentversion\uninstall\Internet Optimizer HKU\S-1-5-18\software\microsoft\windows\currentversion\uninstall\Internet Optimizer HKC\.DEFAULT\software\microsoft\windows\currentversion\uninstall\Internet Optimizer HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\microsoft\windows\currentversion\uninstall\DyFuCA HKU\S-1-5-20\software\microsoft\windows\currentversion\uninstall\DyFuCA HKU\S-1-5-19\software\microsoft\windows\currentversion\uninstall\DyFuCA HKU\S-1-5-18\software\microsoft\windows\currentversion\uninstall\DyFuCA HKU\.DEFAULT\software\microsoft\windows\currentversion\uninstall\DyFuCA HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\policies\avenue media HKU\S-1-5-21-1645522239-746137067-854245398-1003\software\avenue media HKCR\clsid\(00000010-6f7d-442c-93e3-4a4827c2e4c8) HKCR\dyfuca_bh.bhobj HKCR\dyfuca_bh.bhobj.1 HKCR\interface\(1c01d150-91a4-4de0-9bf8-a35d1bdf1001) HKCR\typelib\(40b1d454-9ca4-43cc-86aa-cb175eac52fb) HKCR\AppID\LoaderX.EX HKLM\software\salm HKLM\software\microsoft\windows\currentversion\uninstall\salm kapabout Spyware/Adware HKLM\software\microsoft\windows\currentversion\uninstall\kapabout HKLM\software\microsoft\windows\currentversion\uninstall\kapabou HKCR\aspfile\persistenthandler peopleonpage Spyware/Adware (load.exe) http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453074934 cpr.exe cxtpls.exe popsrv184.exe profilepath+\local settings\temp\auf0.exe profilepath+\local settings\temp\autoupdate0\autoupdate.exe profilepath+\locals~1\temp\autoupdate0\auto_update_install.exe programfilesdir+\pop\popsrv140.exe programfilesdir+\pop\popsrv146.exe programfilesdir+\pop\popsrv205.exe programfilesdir+\pop\sysmonc.exe programfilesdir+\pop\sysmong.exe C:\PROGRAM FILES\POP\POPSRV140.EXE C:\PROGRAM FILES\POP\\popsrv146.exe C:\PROGRAM FILES\POP\popsrv205.exe C:\PROGRAM FILES\POP\sysmonc.exe C:\PROGRAM FILES\POP\sysmong.exe sysmonn.exe sysmono.exe systemroot+\downloaded program files\aprload.exe systemroot+\downloaded program files\load.exe systemroot+\system32\auto_update_uninstall.exe systemroot+\system32\bi5.exe systemroot+\windows\system32\auto_update_uninstall.exe monpop.exe aprload.exe pophook4.dll pophook.dll load.exe pop.inf mybutton.swf PopSrv.log PopSrv.old auf0.exe apropos.exe apropos_uninstaller.exe internetfeatures.exe ace.dll AproposPlugin.dll atl.dll proxystub.dll wingenerics.dll Aproposuninst.ini Aproposplugin.dll proxystub.dll ace.dll atl.dll data.bin libexpat.dll sysai.exe uninstaller.exe wingenerics.dll Aproposplugin.dll ProxyStub.dll LibExpat.dll AutoUpdate.exe Aproposplugin.dll Auto_Update_Uninstall.exe Auto_update_uninstall.log CxtPls.dll CxtPls.exe dx8iext.exe rcisp.exe shmhupnp.exe sm1ay.exe wrifo.exe pophook.dll sysmong.exe loesche das mit der Killbox: C:\WINNT\winsx.inf C:\WINNT\winsx.dll C:\WINNT\winsx.cab C:\WINNT\Downloaded Program Files\aprload.exe C:\WINNT\Downloaded Program Files\load.exe C:\WINNT\System32\auto_update_uninstall.exe C:\Windows\system32\bi5.exe •Search&Destroy http://www.safer-networking.org/de/download/index.html Spybot - Search && Destroy-scannlog-->bitte abkopieren und posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2005, 16:42
Member
Themenstarter Beiträge: 16 |
#25
Hi Sabina,
hier der Scan von Spybot: --- Search result list --- Alexa Related: Verknüpfung (Datei austauschen, nothing done) C:\WINNT\Web\RELATED.HTM DyFuCA.InternetOptimizer: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\AMeOpt DyFuCA.InternetOptimizer: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_USERS\S-1-5-21-1123561945-527237240-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\AMeOpt DyFuCA.InternetOptimizer: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Kapabout EffectiveBandToolbar: Root class (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_CLASSES_ROOT\TPUSN --- Spybot - Search && Destroy version: 1.3 --- 2005-03-03 Includes\Cookies.sbi 2005-04-07 Includes\Dialer.sbi 2005-04-07 Includes\Hijackers.sbi 2005-03-22 Includes\Keyloggers.sbi 2004-11-29 Includes\LSP.sbi 2005-04-07 Includes\Malware.sbi 2005-03-17 Includes\PUPS.sbi 2005-03-17 Includes\Revision.sbi 2005-02-09 Includes\Security.sbi 2005-04-07 Includes\Spybots.sbi 2005-02-17 Includes\Tracks.uti 2005-04-07 Includes\Trojans.sbi --- System information --- Windows 2000 (Build: 2195) Service Pack 4 / Windows 2000 / SP4: Windows 2000 Service Pack 4 / Windows 2000 / SP5: Windows 2000-Hotfix - KB823559 / Windows 2000 / SP5: Windows 2000-Hotfix - KB823980 / Windows 2000 / SP5: Windows 2000-Hotfix - KB824105 / Windows 2000 / SP5: Windows 2000-Hotfix - KB824146 / Windows 2000 / SP5: Windows 2000-Hotfix - KB828028 --- Startup entries list --- Located: HK_LM:Run, ATIPTA command: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe file: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe size: 335872 MD5: 5440e45c77059566c1e78d0582639afa Located: HK_LM:Run, ccApp command: "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" file: C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe size: 71256 MD5: 86253fd96f110d9a0fb07fcd0651b9ec Located: HK_LM:Run, EM_EXEC command: C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE file: C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE size: 35328 MD5: 57e2fb5840c197d2014dfc9b4f820f19 Located: HK_LM:Run, NeroCheck command: C:\WINNT\System32\NeroCheck.exe file: C:\WINNT\System32\NeroCheck.exe size: 155648 MD5: 3e4c03cefad8de135263236b61a49c90 Located: HK_LM:Run, NVCLOCK command: rundll32 nvclock.dll,fnNvclock file: C:\WINNT\system32\rundll32.exe size: 10000 MD5: ce6ff54fac44ffde364f1dfc5e59c43e Located: HK_LM:Run, NvCplDaemon command: RUNDLL32.EXE NvQTwk,NvCplDaemon initialize file: C:\WINNT\system32\RUNDLL32.EXE size: 10000 MD5: ce6ff54fac44ffde364f1dfc5e59c43e Located: HK_LM:Run, nwiz command: nwiz.exe /install file: C:\WINNT\system32\nwiz.exe size: 372736 MD5: 22d3fc9ebe765a319fccddcd945293e6 Located: HK_LM:Run, OpwareSE2 command: "C:\Programme\Canon\ScanSoft\OpwareSE2.exe" file: C:\Programme\Canon\ScanSoft\OpwareSE2.exe size: 49152 MD5: 882539219b40107d5bc0557e0088dd79 Located: HK_LM:Run, SoundMan command: SOUNDMAN.EXE file: C:\WINNT\SOUNDMAN.EXE size: 46592 MD5: f9bfdff7e19127ca836338f4c9236d79 Located: HK_LM:Run, Symantec NetDriver Monitor command: C:\PROGRA~1\SYMNET~1\SNDMon.exe file: C:\PROGRA~1\SYMNET~1\SNDMon.exe size: 95960 MD5: abba14e4513a3eb53194c472d94943d7 Located: HK_LM:Run, Synchronization Manager command: mobsync.exe /logon file: C:\WINNT\system32\mobsync.exe size: 112400 MD5: 029d8bd024795f88fb4c240d6ee656a8 Located: HK_LM:Run, TkBellExe command: "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot file: C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe size: 180269 MD5: b8e684df9a97497edd2f87444a6307fb Located: HK_LM:Run, URLLSTCK.exe command: C:\Programme\Norton Internet Security\UrlLstCk.exe file: C:\Programme\Norton Internet Security\UrlLstCk.exe size: 70760 MD5: 385b3c945034f537a30ab5bcccd54451 Located: HK_LM:Run, zBrowser Launcher command: C:\Programme\Logitech\iTouch\iTouch.exe file: C:\Programme\Logitech\iTouch\iTouch.exe size: 200704 MD5: f48aeee4b9b707eaecdee2f5ab4a09e4 Located: Startup (allgemein), Acrobat Assistant.lnk command: C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe file: C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe size: 49254 MD5: 0e6e43d31ac16bcf682eb5f63178c492 Located: Startup (allgemein), Adobe Gamma Loader.lnk command: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe file: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe size: 110592 MD5: 5cd0cd0ec4dc5df459b3ac016764f5aa Located: Startup (allgemein), klickTel Januar 2004 - Schnellstarter.lnk command: C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE file: C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE size: 439808 MD5: 9e11cc89a3be812cd7db2a379fc730f6 Located: Startup (allgemein), Microsoft Office.lnk command: C:\Programme\Microsoft Office\Office\OSA9.EXE file: C:\Programme\Microsoft Office\Office\OSA9.EXE size: 65588 MD5: f32d7e9c2c8010970c5f2badb47238f6 --- Browser helper object list --- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class) BHO name: CLSID name: AcroIEHlprObj Class description: Adobe Acrobat reader classification: Legitimate known filename: AcroIEhelper.ocx<br>AcroIEhelper.dll info link: http://www.adobe.com/products/acrobat/readstep2.html info source: TonyKlein Path: C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\ Long name: AcroIEHelper.ocx Short name: ACROIE~1.OCX Date (created): 18.05.2003 17:37:44 Date (last access): 11.04.2005 15:09:46 Date (last write): 02.03.2001 12:02:04 Filesize: 37808 Attributes: archive MD5: 8394ABFC1BE196A62C9F532511936DF7 CRC32: 71D6E350 Version: 0.1.0.0 {53707962-6F74-2D53-2644-206D7942484F} () BHO name: CLSID name: description: Spybot-S&D IE Browser plugin classification: Legitimate known filename: SDhelper.dll info link: http://spybot.eon.net.au/ info source: Patrick M. Kolla Path: C:\Programme\Spybot - Search & Destroy\ Long name: SDHelper.dll Short name: Date (created): 12.05.2004 01:03:00 Date (last access): 11.04.2005 16:26:54 Date (last write): 12.05.2004 01:03:00 Filesize: 744960 Attributes: archive MD5: ABF5BA518C6A5ED104496FF42D19AD88 CRC32: 5587736E Version: 0.1.0.3 {9ECB9560-04F9-4bbc-943D-298DDF1699E1} (Web assistant) BHO name: Web assistant CLSID name: CNisExtBho Class description: NIS 2004, classification: Legitimate known filename: NISShExt.dll info link: http://www.symantec.com/sabu/nis/nis_pe/ info source: TonyKlein Path: C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\ Long name: NISShExt.dll Short name: Date (created): 08.09.2003 05:04:50 Date (last access): 11.04.2005 16:09:54 Date (last write): 08.09.2003 05:04:50 Filesize: 131072 Attributes: archive MD5: 8C76C5208FED08593A4A501CD9FCFF07 CRC32: 2623133D Version: 0.7.0.0 {BDF3E430-B101-42AD-A544-FADC6B084872} (NAV Helper) BHO name: NAV Helper CLSID name: CNavExtBho Class description: Norton Antivirus classification: Legitimate known filename: NavShExt.dll info link: http://www.symantec.com/nav/nav_9xnt/ info source: TonyKlein Path: C:\Programme\Norton Internet Security\Norton AntiVirus\ Long name: NAVSHEXT.DLL Short name: Date (created): 31.08.2004 12:06:54 Date (last access): 11.04.2005 15:09:46 Date (last write): 04.12.2003 20:00:24 Filesize: 103344 Attributes: archive MD5: 7AE2B80D8550B7018F8DAE53FD80B07A CRC32: 4095FBAC Version: 0.10.0.0 --- ActiveX list --- DirectAnimation Java Classes (DirectAnimation Java Classes) DPF name: DirectAnimation Java Classes CLSID name: description: classification: Legitimate known filename: %WINDIR%\Java\classes\dajava.cab info link: info source: Patrick M. Kolla Microsoft XML Parser for Java (Microsoft XML Parser for Java) DPF name: Microsoft XML Parser for Java CLSID name: description: classification: Legitimate known filename: %WINDIR%\Java\classes\xmldso.cab info link: info source: Patrick M. Kolla {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) DPF name: CLSID name: RdxIE Class description: Netster classification: Confirmed as malware known filename: info link: info source: Path: C:\WINNT\Downloaded Program Files\ Long name: RdxIE.dll Short name: Date (created): 03.06.2004 11:04:14 Date (last access): 11.04.2005 16:30:02 Date (last write): 03.06.2004 11:04:14 Filesize: 524445 Attributes: archive MD5: C89FDE91B6CDAA66A0468276CF973B2C CRC32: E63302C6 Version: 0.6.0.0 {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) DPF name: CLSID name: ActiveScan Installer Class Path: C:\WINNT\Downloaded Program Files\ Long name: asinst.dll Short name: Date (created): 08.02.2005 10:52:16 Date (last access): 11.04.2005 16:30:02 Date (last write): 08.02.2005 10:52:16 Filesize: 110592 Attributes: archive MD5: D90D6B26641FED8E743E8E78F71F0C09 CRC32: C1BA2509 Version: 0.57.0.5 {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) DPF name: CLSID name: CRAVOnline Object Path: C:\WINNT\Downloaded Program Files\ Long name: ravonline.dll Short name: RAVONL~1.DLL Date (created): 04.09.2003 15:00:22 Date (last access): 11.04.2005 16:30:02 Date (last write): 04.09.2003 15:00:22 Filesize: 200704 Attributes: archive MD5: C8D24EB364FB71B810FAFB5222E55F1B CRC32: 81A19FC7 Version: 0.1.0.1 {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) DPF name: CLSID name: Symantec RuFSI Registry Information Class description: Symantec RuFSI Registry Information Class classification: Legitimate known filename: RUFSI.DLL info link: info source: Patrick M. Kolla Path: C:\WINNT\Downloaded Program Files\ Long name: rufsi.dll Short name: Date (created): 03.06.2004 11:19:22 Date (last access): 11.04.2005 16:30:02 Date (last write): 03.06.2004 11:19:22 Filesize: 160928 Attributes: archive MD5: 12D9D01A82190E56CAB50B8232388282 CRC32: 862514A3 Version: 7.212.0.5 {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) DPF name: CLSID name: Shockwave Flash Object description: Macromedia Shockwave Flash Player classification: Legitimate known filename: info link: info source: Patrick M. Kolla Path: C:\WINNT\System32\macromed\flash\ Long name: Flash.ocx Short name: Date (created): 24.02.2003 16:20:36 Date (last access): 11.04.2005 16:21:54 Date (last write): 24.02.2003 16:20:36 Filesize: 827392 Attributes: archive MD5: E61DB5468D6CCC46397C1A918C1A1AA4 CRC32: 9B8420BD Version: 0.6.0.0 --- Process list --- Spybot - Search && Destroy process list report, 11.04.2005 16:34:31 PID: 0 ( 0) [System] PID: 8 ( 0) System PID: 148 ( 8) \SystemRoot\System32\smss.exe PID: 172 ( 148) \??\C:\WINNT\system32\winlogon.exe PID: 176 ( 148) CSRSS.EXE PID: 220 ( 172) C:\WINNT\system32\Ati2evxx.exe PID: 224 ( 172) C:\WINNT\system32\services.exe PID: 236 ( 172) C:\WINNT\system32\lsass.exe PID: 348 ( 224) C:\WINNT\system32\Ati2evxx.exe PID: 420 ( 224) C:\WINNT\system32\svchost.exe PID: 436 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe PID: 472 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe PID: 520 (1380) C:\Programme\Microsoft Office\Office\OUTLOOK.EXE PID: 532 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe PID: 664 ( 224) C:\WINNT\system32\spoolsv.exe PID: 704 ( 224) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe PID: 736 ( 224) C:\WINNT\System32\svchost.exe PID: 816 ( 224) C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe PID: 904 ( 224) C:\WINNT\system32\regsvc.exe PID: 928 ( 224) C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe PID: 956 ( 224) C:\WINNT\system32\MSTask.exe PID: 1008 ( 224) C:\WINNT\system32\stisvc.exe PID: 1020 ( 520) C:\Programme\Internet Explorer\iexplore.exe PID: 1060 ( 224) C:\WINNT\System32\WBEM\WinMgmt.exe PID: 1160 ( 224) C:\WINNT\system32\svchost.exe PID: 1340 (1380) C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe PID: 1356 (1380) C:\Programme\Canon\ScanSoft\OpwareSE2.exe PID: 1380 ( 708) C:\WINNT\Explorer.EXE PID: 1400 ( 984) C:\Programme\Spybot - Search & Destroy\SpybotSD.exe PID: 1408 (1380) C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe PID: 1424 (1380) C:\WINNT\SOUNDMAN.EXE PID: 1440 (1380) C:\Programme\Logitech\iTouch\iTouch.exe PID: 1456 (1380) C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE PID: 1464 (1380) C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe PID: 1496 (1380) C:\Programme\klickTel\klickTel Januar 2004\KSTART32.EXE PID: 1508 (1160) C:\WINNT\system32\wuauclt.exe PID: 1820 ( 420) C:\WINNT\msagent\AgentSvr.exe --- Browser start & search pages list --- Spybot - Search && Destroy browser pages report, 11.04.2005 16:34:31 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page C:\WINNT\system32\blank.htm HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page http://www.google.com HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page http://www.google.com HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page %SystemRoot%\system32\blank.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page http://www.google.com HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page http://www.google.com HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL http://www.google.com HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL http://www.google.com HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm --- Winsock Layered Service Provider list --- Protocol 0: MSAFD Tcpip [TCP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip • Protocol 1: MSAFD Tcpip [UDP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip • Protocol 2: MSAFD Tcpip [RAW/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip • Protocol 3: RSVP UDP Service Provider GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\rsvpsp.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 4: RSVP TCP Service Provider GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\rsvpsp.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{88F326EC-8CA8-4EA5-9EC8-30E5CB8EDB78}] SEQPACKET 3 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{88F326EC-8CA8-4EA5-9EC8-30E5CB8EDB78}] DATAGRAM 3 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C3106CD-E18B-4E85-B8BE-0B1F9D3E5299}] SEQPACKET 0 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C3106CD-E18B-4E85-B8BE-0B1F9D3E5299}] DATAGRAM 0 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ABC592BC-623C-4E4B-8B75-30B02EEA8A63}] SEQPACKET 1 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{ABC592BC-623C-4E4B-8B75-30B02EEA8A63}] DATAGRAM 1 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D0D3BA94-1DCB-4340-8DC3-BFA1FC7B6542}] SEQPACKET 2 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D0D3BA94-1DCB-4340-8DC3-BFA1FC7B6542}] DATAGRAM 2 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\msafd.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Namespace Provider 0: TCP/IP GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B} Filename: %SystemRoot%\System32\rnr20.dll Description: Microsoft Windows NT/2k/XP TCP/IP name space provider DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: TCP/IP Namespace Provider 1: NTDS GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC} Filename: %SystemRoot%\System32\winrnr.dll Description: Microsoft Windows NT/2k/XP name space provider DB filename: %SystemRoot%\system32\winrnr.dll DB protocol: NTDS Ich bin auf den Button "Probleme beheben" gegangen und habe einen neuen Scan gemacht: --- Search result list --- Gratulation!: Es wurden keine Spione gefunden. () Leider funktioniert die rechte Maustaste immer noch nicht. Ich habe übrigens auch mal eine andere Maus installiert, aber auch das ging nicht. Meinst Du nicht, es wäre besser, zu formatieren und Windows neu zu installieren? Das ganze kostet mittlerweile jede Menge Zeit. Ach ja, eine load.exe kann ich nirgens finden. Ich habe diese mit der Killbox gelöscht, aber wie gesagt, es funktioniert immer noch nicht alles, wie es sollte. Ich muss jetzt leider wieder weg, melde mich morgen früh. Vielleicht weisst Du ja noch was, was ich machen kann. Auf alle Fälle: Vielen, vielen Dank für Deine Mühe. Auch wenn es immer noch nicht klappt, habe ich einiges dazu gelernt. Grüße pepsen |
|
|
||
11.04.2005, 17:11
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo@ pepsen
die Schluessel, die zu Entfernen sind (aus der Registry) siehst du oben im Log von Spybot Wenn das mit der rechten Maustaste nicht mehr geht, dann ist irgendein Schluessel in der Registry umgestellt (ich hab schon im Net gesucht, aber ich finde nichts darueber ) Wahrscheinlich ist es doch das beste, wenn du formatierst ...schade, ich haette das gern geloest versuch es noch mal mit diesem Tool--> da kann man die maus umstellen #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2005, 21:49
Member
Beiträge: 24 |
#27
Hallo zusammen!
Neu aufsetzen nur wegen dem fehlenden Mausrechtsklick ist nicht nötig! Das geht viel einfacher so: Unter HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer Bei 1 kommt kein Display-Menü mehr beim Klick mit der rechten Maustaste auf den Desktop oder Explorer. Bei NT 4.0 erst ab Service Pack 2 vorhanden. NoViewContextMenu REG_DWORD Boolean 0 Möglicherweise muss das unter "HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer" wiederholt werden. Hier ist alles zu dem Thema http://www.winfaq.de/faq_html/tip0808.htm Viel Erfolg! Ganzneuer P.S.: Was aber leider nicht drin steht ist, wie man die Desktopanzeige (Hintergrundbild) ändern kann. Das ist bei mir ausgegraut. Zum Vergleich habe ich ein Testbenutzerkonto unter XP SP1 eingerichtet, und da ging alles. Die Einstellungen mit TuneUp 2004 auf den Hauptnamen kopiert, und das Hintergrundbild war da, nicht aber die Möglichkeit, das vom Hauptkonto aus zu ändern. Weiß da wer was? Wäre schön. |
|
|
||
12.04.2005, 13:40
Member
Themenstarter Beiträge: 16 |
#28
Hallo Ganzneuer,
vielen dank für Deinen Tipp, die beiden Keys (NoviewContexMenu) standen auf 2, habe sie nun auf 0 gestellt, aber leider funktioniert es immer noch nicht. Da Problem mit der rechten Maustaste ist übrigens nicht nur auf dem Desktop, ich kann generell keine Datei mit rechts anklicken, so dass ein Kontexmenü kommt. Ausserdem erstellen sich auf dem Desktop immer zwei Icons, von denen ich immer nur ein löschen kann. Ich habe auch das Prog Registry System Wizard ausprobiert, aber auch das hat leider nicht geholfen. Kannst Du mit dem Eintrag ForceActiveDesktopOn, REG_DWORD, Wert: 0x00000002 was anfangen? Würde mich sehr freuen, wenn Du mir weiterhelfen könntest. @ Sabina, hallo Sabina, habe das TuneUp ausprobiert, dass hat aber leider auch nicht geholfen. Ich danke Dir für Deine viele Mühe! |
|
|
||
12.04.2005, 15:09
Ehrenmitglied
Beiträge: 29434 |
#29
Hallo@pepsen
gehe mal mit rechtsklick auf diese zwei Ikone -->Eigenschaften und poste, was du dort findest __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2005, 15:36
Member
Themenstarter Beiträge: 16 |
#30
Hallo Sabina,
übrigens, ich kann die rechte Maustaste wieder benutzen!!! Der Tipp von "Ganzneuer" war prima!!!! @ GANZNEUER! VIELEN; VIELEN DANK!!!! Hatte vergessen zu rebooten, sorry!!! Mit den Icons habe ich immer noch das gleiche Problem. Das eine Icon ist "normal" mit allen Eigenschaften (Kontexmenü), bei dem anderen Icon ist folgendes: Ort: C:\Desktop (aber da ist nichts) Größe: 0 Byte alles andere ist leer Zieltyp: Dies ist keine gültige Verknüpfung alle anderen Felder sind leer. Gibt es hier auch einen Regkey, den ich überprüfen kann? VIELEN DANK FÜR EURE HILFE! Grüße pepsen[/img] |
|
|
||
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
*C:\WINNT\wininit.ini-->auch loeschen
`[Rename]
`NUL=C:\PROGRA~1\GXTRAN~1\GXTHRE~1.EXE
`NUL=C:\WINNT\GXTRAN~1.BAKC:\WINNT\system32\mqexdlm.srg=C:\WINNT\exdl.exe
`C:\WINNT\system32\javexulm.vxd=C:\WINNT\exul.exe
`NUL=C:\WINNT\ADP803~1.EXE
`NUL=C:\WINNT\exdl.exe
`NUL=C:\WINNT\ahadp.exe
C:\WINNT\wininit.ini
C:\WINNT\exdl.exe
C:\WINNT\exul.exe
C:\WINNT\ahadp.exe
C:\WINNT\ADP803~1.EXE
C:\WINNT\system32\javexulm.vxd
C:\PROGRA~1\GXTRAN~1\GXTHRE~1.EXE
ap2nqrd4.dat<---ADW_SAHAGENT.F
• a95kfrhe.ini
• ap2nqrd4.dat
• ap9h4qmo.ini
• baur5s9q.dat
• bqrufs5f.dat
• p1vmi8n5.html
• q10pvbrv.dat
• q10pvbrv.dat
• q17i9a4j.ini
• qh4mkbv9.dll
• ritsacnk.dat
• u8jbdoj1.html
C:\temp\salm.log:
C:\temp\salmau.dat
C:\temp\salmhook.dll
-----------------------------
Dann loesche auch rigeros diese Datein, wenn sie alle das gleiche Erstellungsdatum haben.....
Zitat
•AboutBuster
www.malwarebytes.biz/AboutBuster.zip
http://www.spychecker.com/program/aboutbuster.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.
poste mir das Log vom SCann
Removed Data Streams:
C:\WINDOWS\WMSysPr9.prx:kkzbj
C:\WINDOWS\win.ini:fnynl
C:\WINDOWS\saap.log: (deleted)
C:\WINDOWS\saapau.dat: (deleted)
C:\temp\salmhook.dll: (deleted)
C:\System Volume Information\_restore{6EC38735-FDA6-4E64-BB33-37BB1FE354AE}\RP487\A0095567.exe: (deleted)
C:\System Volume Information\_restore{6EC38735-FDA6-4E64-BB33-37BB1FE354AE}\RP487\A0095568.exe: (deleted)
C:\System Volume Information\_restore{6EC38735-FDA6-4E64-BB33-37BB1FE354AE}\RP487\A0095569.dll: (deleted)
C:\temp\salm.log: (deleted)
C:\temp\salmau.dat: (deleted)
__________
MfG Sabina
rund um die PC-Sicherheit