Home » Spyware & Browser Hijacker Support Forum » browser hijacker:searchforfree.info » Themenansicht
browser hijacker:searchforfree.info |
||
|---|---|---|
| #0
| ||
|
04.04.2005, 15:23
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
05.04.2005, 00:50
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@deraltefritz
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/ F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe<--Searchforfree.info browser hijacker O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [isystem] C:\WINDOWS\System32\isystem.exe O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\System32\ldriver.exe O21 - SSODL: GtFzLcHAqCYZC - {0F1712E4-A5BD-B84E-A4AB-470851218C44} - C:\WINDOWS\System32\yuposb.dll PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\yuposb.dll C:\WINDOWS\System32\isystem.exe C:\WINDOWS\System32\winldra.exe C:\WINDOWS\System32\icasServ.exe C:\WINDOWS\System32\ldriver.exe C:\WINDOWS\htmlsync.exe PC neustarten #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) •Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.04.2005, 13:47
...neu hier
Themenstarter Beiträge: 3 |
#3
Liebe Sabina,
zu allererst möchte ich ein riesengroßes "Dankeschön" loswerden: Du hast mir sehr geholfen - schnell & problemlos. Ganz Fantastisch. Ich habe Deine Checkliste abgearbeitet und mit nur kleinen Problemen gekämpft ( ich war zu doof, mit der killbox mehrere sachen gleichzeitig zu löschen - hab ich einzeln gemacht - und in cleanmgr habe ich die pfade nicht gefunden - hab ich leider ausgelassen ) und jetzt läuft alles wieder einwandfrei. Hier noch der neue logfile: Logfile of HijackThis v1.99.1 Scan saved at 13:29:49, on 05.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Iomega\AutoDisk\ADUserMon.exe C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Iomega HotBurn Pro\Autolaunch.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\Programme\BHODemon 2\BHODemon.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\WINDOWS\system32\drivers\dcfssvc.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Iomega\AutoDisk\ADService.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Scaleo\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ebay.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Programme\Iomega HotBurn Pro\Autolaunch.exe" O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab O21 - SSODL: GtFzLcHAqCYZC - {0F1712E4-A5BD-B84E-A4AB-470851218C44} - (no file) O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe Nochmals ein dickes Dankeschön. Mfg deraltefritz ( der sich jetzt gar nicht mehr so alt fühlt ) |
|
|
|
|
|
|
05.04.2005, 14:32
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@deraltefritz
•Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: {0F1712E4-A5BD-B84E-A4AB-470851218C44} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab O21 - SSODL: GtFzLcHAqCYZC - {0F1712E4-A5BD-B84E-A4AB-470851218C44} - (no file) PC neustarten •Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> --------------------------------------------------------------------------------- Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.04.2005, 12:05
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo Sabina,
mit dem Registry Search Tool hab ich wohl was falsch gemacht: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{0F1712E4-A5BD-B84E-A4AB-470851218C44}" 06.04.2005 06:42:02 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "GtFzLcHAqCYZC"="{0F1712E4-A5BD-B84E-A4AB-470851218C44}" Ich weiß nicht, ob aufgrund fehlender manueller Sicherung das Ding jetzt weg ist. Den Eintrag O21 - SSODL: GtFzLcHAqCYZC - {0F1712E4-A5BD-B84E-A4AB-470851218C44} - (no file) habe ich gefixt, während ich diesen O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab gelassen habe ( Ich spiele leidenschaftlich gerne Schach und das läuft über den Spielserver von aol ). Sollte doch eigentlich ok sein, oder? Die Datenträgerbereinigung cleanmgr hab ich jetzt auch gemacht ( ich war wohl vorher nur zu ängstlich. Sorry ). Aber bei eScan kam wohl - soweit ich das sehen kann - eine kleinere Katastrophe raus: Wed Apr 06 08:29:24 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Wed Apr 06 08:29:24 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Wed Apr 06 08:29:24 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Wed Apr 06 08:29:24 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Wed Apr 06 08:29:24 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Wed Apr 06 08:29:24 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Wed Apr 06 08:29:24 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken. Wed Apr 06 08:30:39 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken. Wed Apr 06 08:30:39 2005 => File System Found infected by "WindUpdate Spyware/Adware" Virus. Action Taken: No Action Taken. Wed Apr 06 08:30:44 2005 => File C:\WINDOWS\winsms.dll infected by "Backdoor.Win32.Dumador.at" Virus. Action Taken: No Action Taken. Wed Apr 06 08:32:05 2005 => File C:\WINDOWS\System32\getupd.exe infected by "Trojan-Downloader.Win32.Tinytest" Virus. Action Taken: No Action Taken. Wed Apr 06 08:32:05 2005 => File C:\WINDOWS\System32\WebInstall.dll infected by "Trojan-Downloader.Win32.Tinytest" Virus. Action Taken: No Action Taken. Wed Apr 06 08:32:21 2005 => File C:\WINDOWS\System32\sdmtb.dll infected by "Trojan-Spy.Win32.Small.cc" Virus. Action Taken: No Action Taken. Wed Apr 06 08:32:36 2005 => File C:\DOKUME~1\Scaleo\LOKALE~1\Temp\rsysinit.exe infected by "Trojan.Win32.ExitWin.z" Virus. Action Taken: No Action Taken. Wed Apr 06 08:32:38 2005 => File C:\DOKUME~1\Scaleo\LOKALE~1\Temp\fyhfsaoe.exe infected by "Trojan-Dropper.Win32.Small.wa" Virus. Action Taken: No Action Taken. Wed Apr 06 08:36:58 2005 => File C:\WINDOWS\system32\getupd.exe infected by "Trojan-Downloader.Win32.Tinytest" Virus. Action Taken: No Action Taken. Wed Apr 06 08:36:58 2005 => File C:\WINDOWS\system32\WebInstall.dll infected by "Trojan-Downloader.Win32.Tinytest" Virus. Action Taken: No Action Taken. Wed Apr 06 08:38:34 2005 => File C:\WINDOWS\system32\sdmtb.dll infected by "Trojan-Spy.Win32.Small.cc" Virus. Action Taken: No Action Taken. Wed Apr 06 08:40:06 2005 => File C:\WINDOWS\LastGood\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. Wed Apr 06 08:40:09 2005 => File C:\WINDOWS\winsms.dll infected by "Backdoor.Win32.Dumador.at" Virus. Action Taken: No Action Taken. Wed Apr 06 08:41:00 2005 => File C:\Dokumente und Einstellungen\Scaleo\Lokale Einstellungen\Temp\rsysinit.exe infected by "Trojan.Win32.ExitWin.z" Virus. Action Taken: No Action Taken. Wed Apr 06 08:41:02 2005 => File C:\Dokumente und Einstellungen\Scaleo\Lokale Einstellungen\Temp\fyhfsaoe.exe infected by "Trojan-Dropper.Win32.Small.wa" Virus. Action Taken: No Action Taken. Wed Apr 06 08:43:18 2005 => File C:\Dokumente und Einstellungen\Scaleo\Eigene Dateien\computer\kopie wincomexe\Win Comm\WinDat.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. Wed Apr 06 08:43:18 2005 => File C:\Dokumente und Einstellungen\Scaleo\Eigene Dateien\computer\kopie wincomexe\Win Comm\WinComm.exe infected by "not-a-virus:AdWare.WinComm" Virus. Action Taken: No Action Taken. Wed Apr 06 08:43:26 2005 => File C:\Dokumente und Einstellungen\Scaleo\Eigene Dateien\computer\hijackthis.zip infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Wed Apr 06 09:19:18 2005 => File C:\Dokumente und Einstellungen\Scaleo\.jpi_cache\jar\1.0\a.jar-43182502-53188d14.zip infected by "Trojan.Java.ClassLoader.b" Virus. Action Taken: No Action Taken. Wed Apr 06 09:19:19 2005 => File C:\Dokumente und Einstellungen\Scaleo\.jpi_cache\jar\1.0\a.jar-43182502-5eafcd1d.zip infected by "Trojan.Java.ClassLoader.b" Virus. Action Taken: No Action Taken. Wed Apr 06 09:19:27 2005 => File C:\Dokumente und Einstellungen\Scaleo\.jpi_cache\jar\1.0\counter.jar-35a139d3-16b496b8.zip infected by "Trojan.Java.ClassLoader.o" Virus. Action Taken: No Action Taken. Wed Apr 06 09:30:39 2005 => File C:\System Volume Information\_restore{A599B3DF-86B9-40AB-8D16-4176ACDF681A}\RP1\A0000059.EXE infected by "Trojan-Dropper.Win32.Small.wa" Virus. Action Taken: No Action Taken. Wed Apr 06 09:30:40 2005 => File C:\System Volume Information\_restore{A599B3DF-86B9-40AB-8D16-4176ACDF681A}\RP2\A0000101.exe infected by "not-a-virus:AdWare.WinComm" Virus. Action Taken: No Action Taken. Wed Apr 06 09:31:02 2005 => File C:\Q121103.exe infected by "Trojan-Downloader.Win32.WinShow.g" Virus. Action Taken: No Action Taken. Wed Apr 06 09:58:36 2005 => File C:\WINDOWS\winsms.dll infected by "Backdoor.Win32.Dumador.at" Virus. Action Taken: No Action Taken. Aber ich denke, Du hast schon genug getan - und den Schuh mußt Du Dir nicht auch noch anziehen. Ich sollte wohl in Zukunft etwas vorsichtiger unterwegs sein. Mfg deraltefritz |
|
|
|
|
|
|
06.04.2005, 12:32
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@deraltefritz
Deaktiviere die Systemwiederherstellung--> dann aktiviere sie wieder «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Loesche mit der Killbox: •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\LastGood\Downloaded Program Files\WinCommX.dll C:\Q121103.exe C:\WINDOWS\winsms.dll C:\WINDOWS\System32\getupd.exe C:\WINDOWS\System32\WebInstall.dll C:\WINDOWS\System32\sdmtb.dll C:\Dokumente und Einstellungen\Scaleo\Lokale Einstellungen\Temp\rsysinit.exe C:\Dokumente und Einstellungen\Scaleo\Lokale Einstellungen\Temp\fyhfsaoe.exe neustarten ueberpruefen, ob das geloescht ist  C:\Dokumente und Einstellungen\Scaleo\Lokale Einstellungen\Temp\rsysinit.exe C:\Dokumente und Einstellungen\Scaleo\Lokale Einstellungen\Temp\fyhfsaoe.exe #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) •Download: StartDreck http://www.greyknight17.com/spy/StartDreck.zip Unzip to its own folder and start the program: Press 'Config' Press 'mark all' Uncheck the following boxes only: System/Drivers -> NT Services System/Drivers -> NT Kernel- and FS-drivers Press 'OK' Press 'Save' and select the location to save the log file (default is the same folder as the application) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.04.2005, 10:30
...neu hier
Beiträge: 3 |
#7
liebe sabina und all die anderen die sich auskennen!
ich hatte auch das searchforfree problem. ich bin deinen anweisungen exakt gefolgt. sogor zwei mal. dennoch funktioniert bei mir einfach garnichts. ich bekomme immer wenn ich ich bei hotmail oder meiner anderen webmailadresse einloggenwill ein:n diese seite icht nicht verfügbar. gmx geht interessanter weise. es wäre GROßARTIG könnte mir auch jemand etwas unter die arme greifen: Logfile of HijackThis v1.99.1 Scan saved at 10:25:09, on 25.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVWin\AVGUARD.EXE C:\Programme\AVWin\AVESVC.EXE C:\Programme\AVWin\AVWUPSRV.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\AVWin\AVGNT.EXE C:\WINDOWS\System32\DeltTray.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\joris\LOKALE~1\Temp\Rar$EX09.370\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Inode R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programme\SurfSideKick 2\SskBho.dll O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {61823137-88AB-D655-D2E9-F70A067DA59D} - C:\WINDOWS\System32\eewin.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - (no file) O2 - BHO: (no name) - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {FD80CCF2-233E-7ECB-4A53-59F008B83BC6} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .mov: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\Npqtw32.dll O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.serviceurl.de/InstallationsAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{AB488FE4-FB3D-4ACC-B0E9-E733AA297AA2}: NameServer = 129.27.2.3 129.27.3.3 O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file) O21 - SSODL: TiPpAEjWkZMS - {E0C92D2E-4A63-8784-8E55-6BBCB9FA9969} - C:\WINDOWS\System32\bgux.dll O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVMAILC.EXE O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVGUARD.EXE O23 - Service: AVE Service (AVEService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVESVC.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe vielen dank im vorhinein. euer jo.smot |
|
|
|
|
|
|
25.04.2005, 14:19
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@jo.smot
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Programme\SurfSideKick 2\SskBho.dll O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt O2 - BHO: (no name) - {61823137-88AB-D655-D2E9-F70A067DA59D} - C:\WINDOWS\System32\eewin.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - (no file) O2 - BHO: (no name) - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - (no file) O2 - BHO: (no name) - {FD80CCF2-233E-7ECB-4A53-59F008B83BC6} - (no file) O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programme\SurfSideKick 2\Ssk.exe O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.serviceurl.de/InstallationsAssistent.ocx Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. O17 - HKLM\System\CCS\Services\Tcpip\..\{AB488FE4-FB3D-4ACC-B0E9-E733AA297AA2}: NameServer = 129.27.2.3 129.27.3.3 O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file) O21 - SSODL: TiPpAEjWkZMS - {E0C92D2E-4A63-8784-8E55-6BBCB9FA9969} - C:\WINDOWS\System32\bgux.dll PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Programme\SurfSideKick 2\SskBho.dll C:\Programme\SurfSideKick 2\Ssk.exe C:\Programme\surfsidekick 2\unins000.exe C:\WINDOWS\System32\systime.exe C:\WINDOWS\System32\eewin.dll C:\Windows\Downloaded Program Files\InstallationsAssistent.ocx C:\WINDOWS\System32\bgux.dll PC neustarten •Beispiel HOSTFILE: öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) lösche alles , lasse nur stehen: 127.0.0.1 localhost Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg" und "Alle Dateien und Ordner Anzeigen" anklicken Start-->suchen--> dkprogs/hosts.txt--> loeschen alles loeschen, falls du es findest: 1.exe ic_ssk.exe sskb5.exe sskupdater.exe surfsidekick.exe C:\Programme\surfsidekick 2\<--loeschen CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp  ClaerProg..lade die neuste Version <1.5.1 http://www.clearprog.de/programme/clearprog/index_new.php http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - index.dat  CWShredder http://www.intermute.com/spysubtract/cwshredder_download.html * Double-click on CWShredder.exe. * Click "Fix ->" and click "OK" at the prompt. * CWShredder will scan and clean your system of CWS files. * Click "Next->" and then "Exit". Log-->"make Report" -->hier posten deinstalliere Antivirus (free), damit du nicht zu viele Antivirentools aktiv hast und lade: avast_4_home http://www.avast.com/eng/avast_4_home.html installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach aswclnr.log<--das Log vom Scann suchen und posten + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.04.2005, 11:16
...neu hier
Beiträge: 3 |
#9
liebe sabina.
zuerst einmal danke für deine schnelle hilfe und antwort. leider hat es beim ausführen der von dir vorgeschlagenen schritte einige probleme gegeben: #)bei ""Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)" bin ich deinen schritten gefolgt, habe alle zeilen gelöscht, 127.0.0.1 localhost war nicht dabei, daher habe ich es dazugeschrieben, sodass es nun die einzige zeile ist. #) ich konnte keines der folgenden files finden, dh auch nicht löschen: dkprogs/hosts.txt 1.exe ic_ssk.exe sskb5.exe sskupdater.exe surfsidekick.exe #) es ist mir unmöglich norton/symatech zu löschen. ich habe alles probiert was mir einfiel, aber es gibt immer einen systemfehler. --> habe avast installiert, doch wenn ich es aktiviert habe, kann keiner meiner browser auf das netz zugreifen. habe mich aber noch nicht damit beschäfftigt, dh. schaffe ich das vielleicht auch alleine. #) aswclnr.log<--das Log vom Scann suchen und posten habe das versucht zu finden, war mir nicht möglich. allerdings weiß ich nicht ob ich einen boots-scan durchgeführt habe?! habe das system gescant, aber sonst...? #) die logs: **** Run Keys **** RUN: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe RUN: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd RUN: [DeltTray] DeltTray.exe RUN: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL RUN: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe **** Browser Helper Objects **** BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll BHO: [] C:\PROGRA~1\SPYBOT~1\SDHelper.dll BHO: [Google Toolbar Helper] c:\programme\google\googletoolbar1.dll **** IE Toolbars **** TOOLBAR: [&Google] c:\programme\google\googletoolbar1.dll TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx **** IE Extensions **** IEExt: [] IEExt: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe IEExt: [@shdoclc.dll,-866] C:\Programme\ICQLite\ICQLite.exe IEExt: [Messenger] C:\Programme\Messenger\MSMSGS.EXE **** Hosts File Entries **** HOSTS: 127.0.0.1 localhost **** IE Settings **** Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Local Page: C:\WINDOWS\System32\blank.htm Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch **** IE Context Menu (Right click) **** IEContext: [&Google Search] res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html **** Layered Service Providers **** LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{00F40AB0-D172-4F7B-A543-7CBB128902E8}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{00F40AB0-D172-4F7B-A543-7CBB128902E8}] DATAGRAM 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EB37B03A-5415-4782-B829-5A3F16ACBD92}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EB37B03A-5415-4782-B829-5A3F16ACBD92}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B928480B-0D44-4DD7-BE69-9F8F8BE3C76F}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B928480B-0D44-4DD7-BE69-9F8F8BE3C76F}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E10000E3-1C1A-449D-9D97-E3420508A718}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E10000E3-1C1A-449D-9D97-E3420508A718}] DATAGRAM 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{AB488FE4-FB3D-4ACC-B0E9-E733AA297AA2}] SEQPACKET 5 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{AB488FE4-FB3D-4ACC-B0E9-E733AA297AA2}] DATAGRAM 5 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** {166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab] {8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab] {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/1.4/jinstall-14_02-windows-i586.cab] {D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab] **** Windows Services **** [Alerter] %SystemRoot%\System32\svchost.exe -k LocalService [ALG] %SystemRoot%\System32\alg.exe [AppMgmt] %SystemRoot%\system32\svchost.exe -k netsvcs [aswUpdSv] "C:\Programme\Alwil Software\Avast4\aswUpdSv.exe" [AudioSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [avast! Antivirus] "C:\Programme\Alwil Software\Avast4\ashServ.exe" [avast! Mail Scanner] "C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service [avast! Web Scanner] "C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service [BITS] %SystemRoot%\System32\svchost.exe -k netsvcs [Browser] %SystemRoot%\System32\svchost.exe -k netsvcs [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" [ccProxy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe" [ccPwdSvc] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe" [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" [cisvc] %SystemRoot%\system32\cisvc.exe [ClipSrv] %SystemRoot%\system32\clipsrv.exe [COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} [CryptSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [Dhcp] %SystemRoot%\System32\svchost.exe -k netsvcs [dmadmin] %SystemRoot%\System32\dmadmin.exe /com [dmserver] %SystemRoot%\System32\svchost.exe -k netsvcs [Dnscache] %SystemRoot%\System32\svchost.exe -k NetworkService [ERSvc] %SystemRoot%\System32\svchost.exe -k netsvcs [Eventlog] %SystemRoot%\system32\services.exe [EventSystem] C:\WINDOWS\System32\svchost.exe -k netsvcs [FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe -k netsvcs [helpsvc] %SystemRoot%\System32\svchost.exe -k netsvcs [HidServ] %SystemRoot%\System32\svchost.exe -k netsvcs [ImapiService] C:\WINDOWS\System32\imapi.exe [Iprip] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanserver] %SystemRoot%\System32\svchost.exe -k netsvcs [lanmanworkstation] %SystemRoot%\System32\svchost.exe -k netsvcs [LmHosts] %SystemRoot%\System32\svchost.exe -k LocalService [Messenger] %SystemRoot%\System32\svchost.exe -k netsvcs [mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe [MSDTC] C:\WINDOWS\System32\msdtc.exe [MSIServer] C:\WINDOWS\System32\msiexec.exe /V [navapsvc] "C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe" [NetDDE] %SystemRoot%\system32\netdde.exe [NetDDEdsdm] %SystemRoot%\system32\netdde.exe [Netlogon] %SystemRoot%\System32\lsass.exe [Netman] %SystemRoot%\System32\svchost.exe -k netsvcs [Nla] %SystemRoot%\System32\svchost.exe -k netsvcs [NtLmSsp] %SystemRoot%\System32\lsass.exe [NtmsSvc] %SystemRoot%\system32\svchost.exe -k netsvcs [PlugPlay] %SystemRoot%\system32\services.exe [PolicyAgent] %SystemRoot%\System32\lsass.exe [ProtectedStorage] %SystemRoot%\system32\lsass.exe [RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs [RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs [RDSessMgr] C:\WINDOWS\system32\sessmgr.exe [RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [RemoteRegistry] %SystemRoot%\system32\svchost.exe -k LocalService [RpcLocator] %SystemRoot%\System32\locator.exe [RpcSs] %SystemRoot%\system32\svchost -k rpcss [RSVP] %SystemRoot%\System32\rsvp.exe [SamSs] %SystemRoot%\system32\lsass.exe [SAVScan] C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe [SCardDrv] %SystemRoot%\System32\SCardSvr.exe [SCardSvr] %SystemRoot%\System32\SCardSvr.exe [Schedule] %SystemRoot%\System32\svchost.exe -k netsvcs [seclogon] %SystemRoot%\System32\svchost.exe -k netsvcs [SENS] %SystemRoot%\system32\svchost.exe -k netsvcs [SharedAccess] %SystemRoot%\System32\svchost.exe -k netsvcs [ShellHWDetection] %SystemRoot%\System32\svchost.exe -k netsvcs [SimpTcp] %SystemRoot%\System32\tcpsvcs.exe [SNDSrvc] C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe [Spooler] %SystemRoot%\system32\spoolsv.exe [srservice] %SystemRoot%\System32\svchost.exe -k netsvcs [SSDPSRV] %SystemRoot%\System32\svchost.exe -k LocalService [stisvc] %SystemRoot%\System32\svchost.exe -k imgsvc [SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{E9C0BFB5-BF43-4535-91F2-41D75412C07A} [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe [SysmonLog] %SystemRoot%\system32\smlogsvc.exe [TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs [TermService] %SystemRoot%\System32\svchost.exe -k netsvcs [Themes] %SystemRoot%\System32\svchost.exe -k netsvcs [TlntSvr] C:\WINDOWS\System32\tlntsvr.exe [TrkWks] %SystemRoot%\system32\svchost.exe -k netsvcs [TUWinStylerThemeSvc] C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe [UMWdf] C:\WINDOWS\System32\wdfmgr.exe [upnphost] %SystemRoot%\System32\svchost.exe -k LocalService [UPS] %SystemRoot%\System32\ups.exe [VSS] %SystemRoot%\System32\vssvc.exe [W32Time] %SystemRoot%\System32\svchost.exe -k netsvcs [WebClient] %SystemRoot%\System32\svchost.exe -k LocalService [winmgmt] %systemroot%\system32\svchost.exe -k netsvcs [WmdmPmSN] %SystemRoot%\System32\svchost.exe -k netsvcs [WmdmPmSp] %SystemRoot%\System32\svchost.exe -k netsvcs [Wmi] %SystemRoot%\System32\svchost.exe -k netsvcs [WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe [wuauserv] %SystemRoot%\system32\svchost.exe -k netsvcs [WZCSVC] %SystemRoot%\System32\svchost.exe -k netsvcs **** Custom IE Search Items **** SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm **** Complete IE Options **** IEOPT: [NoUpdateCheck] IEOPT: [NoJITSetup] IEOPT: [Disable Script Debugger] yes IEOPT: [Show_ChannelBand] No IEOPT: [Anchor Underline] yes IEOPT: [Cache_Update_Frequency] Once_Per_Session IEOPT: [Display Inline Images] yes IEOPT: [Do404Search] IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm IEOPT: [Save_Session_History_On_Exit] no IEOPT: [Show_FullURL] no IEOPT: [Show_StatusBar] yes IEOPT: [Show_ToolBar] yes IEOPT: [Show_URLinStatusBar] yes IEOPT: [Show_URLToolBar] yes IEOPT: [Start Page] about:blank IEOPT: [Use_DlgBox_Colors] yes IEOPT: [Check_Associations] Yes IEOPT: [FullScreen] no IEOPT: [Window_Placement] , IEOPT: [Use FormSuggest] yes IEOPT: [NotifyDownloadComplete] yes IEOPT: [Use Search Asst] no IEOPT: [Enable Browser Extensions] yes IEOPT: [Error Dlg Displayed On Every Error] no IEOPT: [Error Dlg Details Pane Open] no IEOPT: [AddToFavoritesExpanded] IEOPT: [ShowedCheckBrowser] Yes IEOPT: [SetHP] r9k687474703a2f2f626573742d7365617263682e6363 IEOPT: [hpnt] IEOPT: [Save Directory] C:\Dokumente und Einstellungen\joris\Desktop\ IEOPT: [FirstHomePage] http://69.50.160.100/ IEOPT: [conc] H¿ÚA://69.50.160.100/ IEOPT: [url1] IEOPT: [Window Title] Microsoft Internet Explorer bereitgestellt von Inode IEOPT: [Use Custom Search URL] IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Enable_Disk_Cache] yes IEOPT: [Cache_Percent_of_Disk] IEOPT: [Delete_Temp_Files_On_Exit] yes IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm IEOPT: [Anchor_Visitation_Horizon] IEOPT: [Use_Async_DNS] yes IEOPT: [Placeholder_Width] IEOPT: [Placeholder_Height] IEOPT: [Start Page] about:blank IEOPT: [Wizard_Version] 6.0.2600.0000 IEOPT: [FullScreen] no IEOPT: [Use Search Asst] no IEOPT: [FirstHomePage] http://69.50.160.100/ IEOPT: [CompanyName] Microsoft Corporation IEOPT: [Custom_Key] MICROSO IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch ---------------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 11:01:13, on 26.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\DeltTray.exe C:\WINDOWS\System32\rundll32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Windows NT\Zubehör\wordpad.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Inode O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .mov: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\Npqtw32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{AB488FE4-FB3D-4ACC-B0E9-E733AA297AA2}: NameServer = 129.27.2.3 129.27.3.3 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe #) ach ja: mitlerweile werde ich nicht mehr redirected, aber ich kann noch immer nicht auf meine webmails zugreifen, und nach einigen aufgerufenen seiten zeigt IE nur mehr "Die Seite kann nicht angezeigt werden." danke nochmals für deine hilfe jo.smot |
|
|
|
|
|
|
26.04.2005, 12:02
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@jo.smot
DATA/report/aswboot.txt -->avast--> suche und poste den Text, dann deinstalliere den Avast wieder Start-->Ausfuehren--> regedit bearbeiten-->suchen--> reinkopieren-- und klicke "suchen" dann loesche alle diese Eintraege 69.50.160.100 H¿ÚA IEOPT: [FirstHomePage] http://69.50.160.100/ IEOPT: [conc] H¿ÚA://69.50.160.100/ silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.04.2005, 19:57
...neu hier
Beiträge: 3 |
#11
liebe sabina.
ich hoffe mal ich habe nichts vergessen: 04/26/2005 16:52 Scan aller lokalen Laufwerke Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP2\A0000152.dll ist infiziert von Win32:Trojan-gen. {Other} - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000448.exe ist infiziert von Win32:PurityScan-E [Trj] - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000454.dll ist infiziert von Win32:Trojan-gen. {Other} - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000455.EXE ist infiziert von Win32:Trojan-gen. {Other} - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000456.exe ist infiziert von Win32:Delf-V [Trj] - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000457.exe ist infiziert von Win32:Trojan-gen. {UPX!} - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000458.exe ist infiziert von Win32:Trojano-1188 [Trj] - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000459.exe ist infiziert von Win32:Trojan-gen. {UPX!} - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000460.dll ist infiziert von Win32:Trojan-gen. {Other} - Entfernt Datei C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000461.exe ist infiziert von Win32:Trojan-gen. {UPX!} - Entfernt Anzahl durchsuchter Ordner: 2369 Anzahl getestete Dateien: 36012 Anzahl infizierte Dateien: 10 "Silent Runners.vbs", revision 36, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "DeltTray" = "DeltTray.exe" ["Doug Fetter Software Wizardry"] "AME_CSA" = "rundll32 amecsa.cpl,RUN_DLL" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"] Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] "Norton AntiVirus - Scan my computer" -> launches: "C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {CLSID}\(Default) = "&Google" -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {CLSID}\(Default) = "&Google" -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" [null data] Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS] Norton AntiVirus Auto Protect Service, navapsvc, ""C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"] RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]} Symantec Core LC, Symantec Core LC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"] Symantec Network Drivers Service, SNDSrvc, "C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe" ["Symantec Corporation"] ---------- This report excludes default entries except where indicated. To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. ---------- Tue Apr 26 17:59:47 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Apr 26 17:59:47 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Tue Apr 26 17:59:47 2005 => System found infected with AltnetBDE Spyware/Adware (adm4.adm4)! Action taken: No Action Taken. Tue Apr 26 17:59:47 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Tue Apr 26 17:59:47 2005 => System found infected with AltnetBDE Spyware/Adware (adm25.adm25)! Action taken: No Action Taken. Tue Apr 26 17:59:47 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Tue Apr 26 18:00:06 2005 => System found infected with AltnetBDE Spyware/Adware (altnet signing module.exe)! Action taken: No Action Taken. Tue Apr 26 18:00:06 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Tue Apr 26 18:00:07 2005 => System found infected with AltnetBDE Spyware/Adware (adm.exe)! Action taken: No Action Taken. Tue Apr 26 18:00:07 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Tue Apr 26 18:00:10 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.ay" Virus. Action Taken: No Action Taken. Tue Apr 26 18:00:11 2005 => File C:\WINDOWS\IEMenuExtension.exe infected by "not-a-virus:AdWare.ToolBar.Ucmore.a" Virus. Action Taken: No Action Taken. Tue Apr 26 18:02:02 2005 => File C:\WINDOWS\System32\msvcrta.dll infected by "Trojan.Win32.Agent.q" Virus. Action Taken: No Action Taken. Tue Apr 26 18:03:05 2005 => File C:\WINDOWS\System32\wins32t.dll infected by "Trojan-Downloader.Win32.Small.yo" Virus. Action Taken: No Action Taken. Tue Apr 26 18:04:29 2005 => File C:\!Submit\Norton AntiVirus\Quarantine\46C773FF.js infected by "Trojan.JS.StartPage.a" Virus. Action Taken: No Action Taken. Tue Apr 26 18:04:29 2005 => File C:\!Submit\Norton AntiVirus\Quarantine\573F6329.EXE infected by "Trojan-Downloader.Win32.Small.air" Virus. Action Taken: No Action Taken. Tue Apr 26 18:04:32 2005 => File C:\!Submit\Ssk.exe infected by "not-a-virus:AdWare.TotalVelocity.aj" Virus. Action Taken: No Action Taken. Tue Apr 26 18:04:32 2005 => File C:\!Submit\SskBho.dll infected by "not-a-virus:AdWare.TotalVelocity.v" Virus. Action Taken: No Action Taken. Tue Apr 26 18:04:32 2005 => File C:\!Submit\SskCore.dll infected by "not-a-virus:AdWare.TotalVelocity.aj" Virus. Action Taken: No Action Taken. Tue Apr 26 18:05:02 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Tue Apr 26 18:05:02 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Tue Apr 26 18:05:02 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS1.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Tue Apr 26 18:05:02 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS2.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Tue Apr 26 18:08:08 2005 => File C:\Dokumente und Einstellungen\joris\Anwendungsdaten\ppae.exe infected by "not-a-virus:AdWare.PurityScan.v" Virus. Action Taken: No Action Taken. Tue Apr 26 18:09:24 2005 => File C:\Dokumente und Einstellungen\joris\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-1c2fcece-37d19e12.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken. Tue Apr 26 18:09:24 2005 => File C:\Dokumente und Einstellungen\joris\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-3d1a52d-2765adb9.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken. Tue Apr 26 18:14:22 2005 => Scanning File C:\Dokumente und Einstellungen\joris\Favoriten\Your Computer maybe infected by Spyware ! Remove It !.url Tue Apr 26 18:18:15 2005 => File C:\Programme\BitLord\Downloads\cubase sx3 dongle erase\Cubase Sx 3.0 (Dongle Emulator Crack For Steinberg Cubase Sx v3.0 Dvdrip.zip infected by "Trojan-Dropper.Win32.Small.mt" Virus. Action Taken: No Action Taken. Tue Apr 26 18:29:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\46C773FF.js infected by "Trojan.JS.StartPage.a" Virus. Action Taken: No Action Taken. Tue Apr 26 18:29:11 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\573F6329.EXE infected by "Trojan-Downloader.Win32.Small.air" Virus. Action Taken: No Action Taken. Tue Apr 26 18:30:25 2005 => File C:\Programme\Shareaza\Downloads\cubase sx3 dongle erase\Cubase Sx 3.0 (Dongle Emulator Crack For Steinberg Cubase Sx v3.0 Dvdrip.zip infected by "Trojan-Dropper.Win32.Small.mt" Virus. Action Taken: No Action Taken. Tue Apr 26 18:31:11 2005 => File C:\Programme\TopConverting\arkanoid\arkanoid.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken. Tue Apr 26 18:33:43 2005 => File C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP2\A0000251.dll infected by "not-a-virus:AdWare.PurityScan.ak" Virus. Action Taken: No Action Taken. Tue Apr 26 18:33:50 2005 => File C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000361.dll infected by "not-a-virus:AdWare.PurityScan.ak" Virus. Action Taken: No Action Taken. Tue Apr 26 18:33:51 2005 => File C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000369.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken. Tue Apr 26 18:33:51 2005 => File C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000370.dll infected by "Trojan-Proxy.Win32.Agent.df" Virus. Action Taken: No Action Taken. Tue Apr 26 18:33:51 2005 => File C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000376.dll infected by "not-a-virus:AdWare.TotalVelocity.aj" Virus. Action Taken: No Action Taken. Tue Apr 26 18:33:51 2005 => File C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000377.dll infected by "not-a-virus:AdWare.TotalVelocity.v" Virus. Action Taken: No Action Taken. Tue Apr 26 18:33:51 2005 => File C:\System Volume Information\_restore{5792CD54-2CCF-4B50-AF78-DC33D028806C}\RP3\A0000378.exe infected by "not-a-virus:AdWare.TotalVelocity.aj" Virus. Action Taken: No Action Taken. Tue Apr 26 18:35:09 2005 => File C:\WINDOWS\Downloaded Program Files\popcaploader.dll infected by "not-a-virus:Porn-Downloader.Win32.PopCap.b" Virus. Action Taken: No Action Taken. Tue Apr 26 18:35:09 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Tue Apr 26 18:39:06 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.ay" Virus. Action Taken: No Action Taken. Tue Apr 26 18:39:07 2005 => File C:\WINDOWS\IEMenuExtension.exe infected by "not-a-virus:AdWare.ToolBar.Ucmore.a" Virus. Action Taken: No Action Taken. Tue Apr 26 18:49:03 2005 => File C:\WINDOWS\system32\msvcrta.dll infected by "Trojan.Win32.Agent.q" Virus. Action Taken: No Action Taken. Tue Apr 26 18:50:30 2005 => File C:\WINDOWS\system32\wins32t.dll infected by "Trojan-Downloader.Win32.Small.yo" Virus. Action Taken: No Action Taken. Tue Apr 26 18:51:00 2005 => File F:\backup\CUBASE SX 3.0 (dongle emulator crack for Steinberg Cubase SX v3.0 DVDRip.md infected by "Trojan-Dropper.Win32.Small.mt" Virus. Action Taken: No Action Taken. Tue Apr 26 18:51:07 2005 => File F:\backup\cubase sx3 dongle erase\Cubase Sx 3.0 (Dongle Emulator Crack For Steinberg Cubase Sx v3.0 Dvdrip.zip infected by "Trojan-Dropper.Win32.Small.mt" Virus. Action Taken: No Action Taken. Tue Apr 26 19:05:09 2005 => File C:\WINDOWS\Downloaded Program Files\popcaploader.dll infected by "not-a-virus:Porn-Downloader.Win32.PopCap.b" Virus. Action Taken: No Action Taken. Tue Apr 26 19:05:09 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Tue Apr 26 19:09:02 2005 => File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.ay" Virus. Action Taken: No Action Taken. Tue Apr 26 19:09:03 2005 => File C:\WINDOWS\IEMenuExtension.exe infected by "not-a-virus:AdWare.ToolBar.Ucmore.a" Virus. Action Taken: No Action Taken. Tue Apr 26 19:18:39 2005 => File C:\WINDOWS\system32\msvcrta.dll infected by "Trojan.Win32.Agent.q" Virus. Action Taken: No Action Taken. Tue Apr 26 19:20:04 2005 => File C:\WINDOWS\system32\wins32t.dll infected by "Trojan-Downloader.Win32.Small.yo" Virus. Action Taken: No Action Taken. Tue Apr 26 19:20:26 2005 => Total Objects Scanned: 49054 Tue Apr 26 19:20:26 2005 => Total Virus(es) Found: 46 Tue Apr 26 19:20:26 2005 => Total Disinfected Files: 0 Tue Apr 26 19:20:26 2005 => Total Files Renamed: 0 Tue Apr 26 19:20:26 2005 => Total Deleted Objects: 0 Tue Apr 26 19:20:26 2005 => Total Errors: 49 Tue Apr 26 19:20:26 2005 => Time Elapsed: 01:21:13 Tue Apr 26 19:20:26 2005 => Virus Database Date: 2005/04/25 Tue Apr 26 19:20:26 2005 => Virus Database Count: 127328 Tue Apr 26 19:20:26 2005 => Scan Completed. Tue Apr 26 19:24:06 2005 => Virus Database Date: 2005/04/25 Tue Apr 26 19:24:06 2005 => Virus Database Count: 127328 Tue Apr 26 19:24:13 2005 => AV Library Unloaded (3)... Tue Apr 26 19:29:28 2005 => ********************************************************** Tue Apr 26 19:29:28 2005 => MicroWorld AntiVirus Toolkit Utility. Tue Apr 26 19:29:28 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc. Tue Apr 26 19:29:28 2005 => ********************************************************** Tue Apr 26 19:29:28 2005 => Version 6.1.1 (C:\DOKUME~1\joris\LOKALE~1\Temp\mwavscan.com) Tue Apr 26 19:29:28 2005 => Log File: C:\DOKUME~1\joris\LOKALE~1\Temp\MWAV.LOG Tue Apr 26 19:29:28 2005 => Last Scan Date and Time: 26.04.2005 17:58:55 Tue Apr 26 19:29:28 2005 => MWAV Registered: FALSE. Tue Apr 26 19:29:28 2005 => MWAV Mode: Only Scan files. Tue Apr 26 19:29:28 2005 => Latest Date of files inside MWAV: 25 Apr 2005 09:31:39. Tue Apr 26 19:29:30 2005 => AV Library Loaded... Tue Apr 26 19:29:30 2005 => MWAV doing self scanning... Tue Apr 26 19:29:30 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\kavss.exe Tue Apr 26 19:29:30 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\Getvlist.exe Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\kavss.dll Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\kavssdi.dll Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\kavssi.dll Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\kavvlg.dll Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\msvlclnt.dll Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\ipc.dll Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\main.avi Tue Apr 26 19:29:31 2005 => Scanning File C:\DOKUME~1\joris\LOKALE~1\Temp\virus.avi Tue Apr 26 19:29:31 2005 => MWAV files are clean. Tue Apr 26 19:29:34 2005 => Virus Database Date: 2005/04/25 Tue Apr 26 19:29:34 2005 => Virus Database Count: 127328 thx auf jeden fall. jo.smot ------------------------ und die ahnungslosigkeit geht weiter... Dieser Beitrag wurde am 26.04.2005 um 19:58 Uhr von jo.smot editiert.
|
|
|
|
|
|
|
27.04.2005, 00:11
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\Downloaded Program Files\popcaploader.dll C:\WINDOWS\IEMenuExtension.exe C:\WINDOWS\hosts C:\WINDOWS\System32\msvcrta.dll C:\WINDOWS\System32\wins32t.dll C:\!Submit\Ssk.exe C:\!Submit\SskBho.dll C:\!Submit\SskCore.dll C:\Dokumente und Einstellungen\joris\Favoriten\Your Computer maybe infected by Spyware ! Remove It !.url C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\46C773FF.js C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\573F6329.EXE C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS1.zip C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS2.zip C:\Dokumente und Einstellungen\joris\Anwendungsdaten\ppae.exe PC neustarten ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp ClaerProg..lade die neuste Version <1.5.1 http://www.clearprog.de/programme/clearprog/index_new.php http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf -URLs - Temporäre Internetfiles (Cache) - index.dat C:\Dokumente und Einstellungen\joris\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-1c2fcece-37d19e12.class C:\Dokumente und Einstellungen\joris\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-3d1a52d-2765adb9.class suche/loesche (manuell) C:\Programme\BitLord\Downloads\cubase sx3 dongle erase\Cubase Sx 3.0 (Dongle Emulator Crack For Steinberg Cubase Sx v3.0 Dvdrip.zip dann scanne noch mal mit escan+ aktiviere die Wiederherstellung wieder __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.07.2005, 23:55
...neu hier
Beiträge: 1 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
seit ein paar Tagen ist mein Rechner befallen: der browser
hijacker "searchforfree.info" hat zugeschlagen.
( Ich weiss nicht genau, ob der identisch mit all denen "search..." ist, die ich hier im Forum gefunden habe. )
Mit all meinen Möglichkeiten ( das sind aber zugegebenermaßen nicht so wirklich viele ) bekomme ich das Ding nicht dauerhaft weg.
spybot, adaware, hijackthis: Nix hat geholfen.
Mittlerweile ist der pc so lahm und macht so schräge sachen ( ja,ja: ich habe selber ein bisschen rumgepfuscht ), dass ihr meine wirklich letzte Hilfe seid.
Ich bin so frech ( bitte nicht böse sein ) und stelle den logfile hierhin:
Logfile of HijackThis v1.99.1
Scan saved at 11:01:54, on 04.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Scaleo\LOKALE~1\Temp\Rar$EX04.640\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Programme\Iomega HotBurn Pro\Autolaunch.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [isystem] C:\WINDOWS\System32\isystem.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\System32\ldriver.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab
O21 - SSODL: GtFzLcHAqCYZC - {0F1712E4-A5BD-B84E-A4AB-470851218C44} - C:\WINDOWS\System32\yuposb.dll
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe
Ich hoffe, ihr nehmt euch meiner an.
Vielen Dank im voraus.
Mfg
deraltefritz