popuper.exe und keine ahnung von hijackthis

#0
17.04.2005, 14:48
...neu hier

Themenstarter

Beiträge: 8
#16 Joa, hab alles soweit gemacht wie Du gesagt hast.
Ich hab alles bis auf localhost gelöscht.

Also was diese angeht:
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
die krieg ich irgendwie net weg, die tauchen immer wieder auf, oder muss ich dazu den PC neustarten?

Mhhh... Windows-Update? Öh, war das der Link, den Du mir ziemlich am Anfang gepostet hattest? Also ich komm da ja net auf die Seite, weil ich keinen Internet Explorer nutze.

Hab schon seit längerem keine (sichtlichen) Probleme mehr...^^
Wenn jetzt soweit alles sauber ist, hoff ich einfach mal, dass mir sowas so schnell nicht wieder vorkommt.

Also vielen lieben Dank, ohne dich hätte ich meinen PC höchstwahrscheinlich ausm Fenster befördert. Und das auch noch am Wochenende... DANKE!
Und falls ich wieder Probleme haben sollte, hoffe ich, dass ich Dich dann wieder um Hilfe bitten darf.

Achso wegen Firewall, ich glaub ich hab keine aufm Rechner, aber mein Mitbewohner hatte da mal irgendwas erzählt, wegen Router... Ich erinnere mich leider net mehr so, am besten ich frag ihn noch mal.^^

LG Akroma
Seitenanfang Seitenende
17.04.2005, 19:49
Member

Beiträge: 1132
#17 @Akroma

Das ist schön, dass alles wieder funktioniert!

Zitat

Mhhh... Windows-Update? Öh, war das der Link, den Du mir ziemlich am Anfang gepostet hattest? Also ich komm da ja net auf die Seite, weil ich keinen Internet Explorer nutze.

Du solltest aber den IE benutzen! Du brauchst den IE zum Updaten Deines Windows, denn nur mit dem IE kommst Du auf www.windowsupdates.com und bekommst die wichtigen Patches angezeigt kannst sie herunterladen. Auch wenn Du Firefox benutzt, was ich ja an Deinem Log gesehen habe, musst Du Windows und IE immer aktuell halten.
Du kannst natürlich auch mit Firefox die entsprechenden Patches von der MS-Downloadseite herunterladen und dann installieren. Dazu musst Du aber wissen, welche Updates Du benötigst.

Was Antivirprog und Firewall anbelangt, so schaue Dich einmal hier im Board um. Es gibt genügend Infos zu kostenlosen Programmen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 17.04.2005 um 19:53 Uhr von Heron editiert.
Seitenanfang Seitenende
18.04.2005, 12:14
...neu hier

Themenstarter

Beiträge: 8
#18 Nagut, dann werd ich das wohl mal machen...^^

Vielen Danke nochmals! Ich hätt echt nicht gedacht, dass ich das so schnell in den Griff bekomme! Danke!!!

MfG Akroma
Seitenanfang Seitenende
01.06.2005, 16:30
...neu hier

Beiträge: 4
#19 Hallo Ich hab auch ein großes Problem mit dem Popuper gehabt. Jetzt kommen allerdings keine Popups mehr und auch sonst bis etz keine Probleme.
Aber Ich kann mein Hintergrundbild nichtmehr ändern da sitzt etz total Hartnäckig so eine art Bluescreen.

Anbei hab ich mal mein HjT Logfile gepostet.

Logfile of HijackThis v1.98.2
Scan saved at 16:28:30, on 01.06.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Bluetooth\bin\btwdins.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\trillian\trillian.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\firefox\firefox.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Foxmail\FM\Foxmail.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.super-snoopy.de/wbb2/index.php?sid=5b030b2fa99d2557dfd5c6ec509c6c76


Hoffe ihr könnt mir auch so kompetent helfen.
Vielen Dank Schonma im Vorraus.

MfG M-o-D
Seitenanfang Seitenende
02.06.2005, 15:09
...neu hier

Beiträge: 4
#20 hallo.
ich habe alles gemacht wie es da stand aber ich hab immer noch als desktophintergrund

"W!
REMOVE ALL SPYWARE FROM YOUR PC!

Removal instructions "

[b]wie kann ich das weg machen???[/b]

Logfile of HijackThis v1.99.1
Scan saved at 15:08:10, on 02.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS.3\System32\smss.exe
E:\WINDOWS.3\system32\winlogon.exe
E:\WINDOWS.3\system32\services.exe
E:\WINDOWS.3\system32\lsass.exe
E:\WINDOWS.3\system32\svchost.exe
E:\WINDOWS.3\System32\svchost.exe
E:\WINDOWS.3\system32\spoolsv.exe
E:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
E:\WINDOWS.3\System32\CTsvcCDA.exe
E:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
E:\WINDOWS.3\System32\nvsvc32.exe
E:\WINDOWS.3\system32\slserv.exe
E:\WINDOWS.3\System32\MsPMSPSv.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
E:\WINDOWS.3\explorer.exe
E:\Programme\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
E:\WINDOWS.3\system32\wuauclt.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\WinRAR\WinRAR.exe
E:\DOKUME~1\VIKTOR~1\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - E:\WINDOWS.3\System32\hp9B55.tmp
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS.3\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTRegRun] E:\WINDOWS.3\CTRegRun.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Gainward] E:\WINDOWS.3\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS.3\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSN Messenger] E:\WINDOWS.3\System32\msmsgs.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BDMCon] E:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] E:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [F-Secure Manager] "E:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "E:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "E:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS.3\System32\ctfmon.exe
O4 - HKCU\..\Run: [Intel system tool] E:\WINDOWS.3\System32\hookdump.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - E:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS.3\System32\CTsvcCDA.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - E:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - E:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - E:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - E:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS.3\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - E:\WINDOWS.3\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
Seitenanfang Seitenende
02.06.2005, 15:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Hallo@ M-o-D

poste bitte das komplette Log vom HijackThis, nicht so ein amputiertes Log....

+

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2005, 15:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@viktorj

Das koennen wir loesen , aber ich brauche Daten, die du mir erst mitteilen musst ;)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - E:\WINDOWS.3\System32\hp9B55.tmp
O4 - HKLM\..\Run: [MSN Messenger] E:\WINDOWS.3\System32\msmsgs.exe
O4 - HKCU\..\Run: [Intel system tool] E:\WINDOWS.3\System32\hookdump.exe

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst...auch wenn es lange dauert ;) --->poste C:\log.txt

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der 15 letzten Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2005, 19:04
...neu hier

Beiträge: 4
#23 was bedeutet poste??
Seitenanfang Seitenende
02.06.2005, 23:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 das bedeutet, alles abkopieren und hier reinkopieren ;)..rechte Maustaste--> kopieren--> hier im Forum--> einfuegen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.06.2005, 13:16
...neu hier

Beiträge: 4
#25 ich hab jetzt als desktop einen weißen hintergrund der gelb flackert.


"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "E:\WINDOWS.3\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"UpdReg" = "E:\WINDOWS.3\UpdReg.EXE" ["Creative Technology Ltd."]
"Jet Detection" = "C:\PROGRAM\ADGJDet.exe" [empty string]
"CTRegRun" = "E:\WINDOWS.3\CTRegRun.EXE" ["Creative Technology Ltd "]
"Gainward" = "E:\WINDOWS.3\TBPanel.exe /A" ["Gainward Co."]
"NvCplDaemon" = "RUNDLL32.EXE E:\WINDOWS.3\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"BDMCon" = "E:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe" ["SOFTWIN S.R.L."]
"BDNewsAgent" = "E:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe" [null data]
"Trojancheck 6 Guard" = "E:\Programme\Trojancheck 6\tcguard.exe" [empty string]
"F-Secure Manager" = ""E:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""E:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]
"F-Secure Startup Wizard" = ""E:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot" ["F-Secure Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS.3\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS.3\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS.3\System32\nvshell.dll" ["NVIDIA Corporation"]
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v7"
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\Softwin\BitDefender Free Edition\bdshelxt.dll" ["SOFTWIN S.R.L."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]


Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "E:\WINDOWS.3\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info"
"Source" = "E:\WINDOWS.3\screen.html"
"SubscribedURL" = ""



Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "E:\WINDOWS.3\System32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"Scheduled scanning task" -> launches: "E:\PROGRA~1\F-SECU~1\ANTI-V~1\fsav.exe /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=E:\PROGRA~1\F-SECU~1\ANTI-V~1\report.txt " ["F-Secure Corporation"]
"Symantec NetDetect" -> launches: "E:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

BitDefender Communicator, XCOMM, "E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe /service" ["Softwin"]
BitDefender Scan Server, bdss, "E:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe /service" [null data]
Creative Service for CDROM Access, Creative Service for CDROM Access, "E:\WINDOWS.3\System32\CTsvcCDA.exe" ["Creative Technology Ltd"]
F-Secure Anti-Virus 2005, BackWeb Plug-in - 4476822, "E:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE" [null data]
F-Secure Anti-Virus Firewall Daemon, FSDFWD, ""E:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe"" ["F-Secure Corporation"]
F-Secure Gatekeeper Handler Starter, F-Secure Gatekeeper Handler Starter, ""E:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe"" ["F-Secure Corp."]
F-Secure Management Agent, FSMA, ""E:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE"" ["F-Secure Corporation"]
fsbwsys, fsbwsys, ""E:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe"" ["F-Secure Corp."]
NVIDIA Driver Helper Service, NVSvc, "E:\WINDOWS.3\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SmartLinkService, SLService, "slserv.exe" ["Smart Link"]
WMDM PMSP Service, WMDM PMSP Service, "E:\WINDOWS.3\System32\MsPMSPSv.exe" [MS]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------
Seitenanfang Seitenende
03.06.2005, 16:31
...neu hier

Beiträge: 4
#26 @Sabina

Falls du mit Amputiert meinst dasses so kurz is des is wirklich alles was da Erscheint.
Etz is noch ne 2te Zeile dazugekommen.

Ich Poste:

HjT Log:

Logfile of HijackThis v1.98.2
Scan saved at 16:28:34, on 03.06.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Bluetooth\bin\btwdins.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Foxmail\FM\Foxmail.exe
C:\WINNT\System32\sol.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Winamp\winamp.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\firefox\firefox.exe
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.super-snoopy.de/wbb2/index.php?sid=5b030b2fa99d2557dfd5c6ec509c6c76
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon



Silent Runners Log:

"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LeechGet" = (no data)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Zugang zu Outlook Express"
\StubPath = ""C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\BTNEIG~1.DLL" ["WIDCOMM, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Nokia PC Suite 6\MessageView.dll" ["Nokia"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\ICQLite\ICQLiteShell.dll" [empty string]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop configuration; removes
Display Properties|Web (tab)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Background (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Background tab}

HIJACK WARNING! "Wallpaper" = "c:\wp.bmp"
[normally disables Display Properties|Background (tab), but
overruled by "NoActiveDesktopChanges"; selects wallpaper if
Active Desktop is enabled]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\system32\ssmyst.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Bluetooth Service, btwdins, "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Bluetooth\bin\btwdins.exe" ["WIDCOMM, Inc."]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------


So des is wirklich alles.
Seitenanfang Seitenende
03.06.2005, 16:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 viktorj

Gehe in die Registry

Start-->Ausfuehren--> regedit (reinschreiben)

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\

loeschen (mit rechtsklick):

"FriendlyName" = "Security info"
"Source" = "E:\WINDOWS.3\screen.html"

PC neustarten

dann berichte ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.06.2005, 17:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo@ M-o-D

c:\wp.bmp loeschen ;)

•Antivirus (free)
http://virus-protect.org/antivirenfree.html
Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

mache einen Komplettscan, dann berichte (poste den Report)+ das neue Log vom Silentrunner
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2005, 14:58
...neu hier

Beiträge: 4
#29 Des c:\wp.bmp hab ich gelöscht.

So des is der Report vom Antivir:


Erstellungsdatum der Reportdatei: Samstag, 4. Juni 2005 14:14

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.225 (0) vom 03.06.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 176047 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.0 Build 2195 (Service Pack 3)
Benutzername: iw1
Computername: IW
Prozessor: Pentium
Arbeitsspeicher: 654904 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.30.0.15 823808 25.05.2005 10:40:04
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.30.00.225 1151016 03.06.2005 15:13:44
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 24.07.2002 14:00:00
MFC42.DLL : 6.00.8665.0 995383 24.07.2002 14:00:00
MSVCRT.DLL : 6.10.9359.0 290869 24.07.2002 14:00:00
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVWIN.INI
Name der Reportdatei: C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\LOGFILES\AVWIN.LOG
Startpfad: C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\iw1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: Samstag, 4. Juni 2005 14:14

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk A:
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Search.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\iw1
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\iw1\Anwendungsdaten\Mozilla\Firefox\Profiles\ljuwc2bb.default
parent.lock
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz
metro.zip
ArchiveType: ZIP
--> metro.exe
Die Datei enthält Signatur des Scherzprogrammes Joke/RideRoof und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\NNmirc\mIRC\download
Nokia_6600.rar
ArchiveType: RAR
--> Nokia_6600\BEST - YOU NEED INSTALL THIS FILES IN YOUR NOKIA\Mosquitos.sis
[FUND!] Ist das Trojanische Pferd TR/SymbOS.Mosqu.A.2
C:\Dokumente und Einstellungen\iw1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\iw1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RIP4SEY4
Idoit[1].part1.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Idoit[1].part2.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Idoit[2].part2.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Dokumente und Einstellungen\iw1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XOTDDTSR
first snow in america[1].part1.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
first snow in america[1].part2.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
first snow in america[1].part3.rar
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\RECYCLER\S-1-5-21-682003330-1708537768-854245398-1000
Dc7.rar
ArchiveType: RAR
--> Nokia_6600\BEST - YOU NEED INSTALL THIS FILES IN YOUR NOKIA\Mosquitos.sis
[FUND!] Ist das Trojanische Pferd TR/SymbOS.Mosqu.A.2
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINNT\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM.ALT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!



Ende des Suchlaufs: Samstag, 4. Juni 2005 14:54
Benötigte Zeit: 40:10 min


1877 Verzeichnisse wurden durchsucht
73544 Dateien wurden geprüft
16 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Viren bzw. unerwünschte Programme wurden gefunden


Und hier des Log vom Silentrunner:

"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LeechGet" = (no data)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"AVGCtrl" = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Zugang zu Outlook Express"
\StubPath = ""C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\BTNEIG~1.DLL" ["WIDCOMM, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
"{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Nokia PC Suite 6\ContactView.dll" ["Nokia"]
"{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Nokia PC Suite 6\MessageView.dll" ["Nokia"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\ICQLite\ICQLiteShell.dll" [empty string]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop configuration; removes
Display Properties|Web (tab)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Background (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Background tab}

HIJACK WARNING! "Wallpaper" = "c:\wp.bmp"
[normally disables Display Properties|Background (tab), but
overruled by "NoActiveDesktopChanges"; selects wallpaper if
Active Desktop is enabled]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\system32\ssmyst.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Bluetooth Service, btwdins, "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Bluetooth\bin\btwdins.exe" ["WIDCOMM, Inc."]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------
Seitenanfang Seitenende
04.06.2005, 15:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Hallo@ M-o-D

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.


Das solltest du loeschen ;)

C:\RECYCLER\S-1-5-21-682003330-1708537768-854245398-1000\Dc7.rar


ArchiveType: RAR
--> Nokia_6600\BEST - YOU NEED INSTALL THIS FILES IN YOUR NOKIA\Mosquitos.sis
[FUND!] Ist das Trojanische Pferd TR/SymbOS.Mosqu.A.2

•Ad-aware SE Personal 1.05 Updated
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende