*http://default.home*/TASKMGRU.EXE<-->Trojan.Win32.Agent.cx

#1 Also ich hab ein absolutes problem, da ich immer wieder die Startseite >>>>>>>>>http://default.home<<< öffnet!!!
bzw
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm
Ich bekommen es einfach nicht weg

Hab schon versucht in der regestrie zu löschen, aber ich hab es nicht geschaft!

Hab einen Tread gelesen hier! "SABINA" hatte angeblich schon mal helfen können !!

Ihr die Liste von HijackThis (Adaware, Spyspot & Destroy & Panda haben auch nicht geholfen !!

Logfile of HijackThis v1.99.1
Scan saved at 15:36:01, on 24.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
D:\INSTALL-DOWNLOADS\AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
D:\INSTALL-ENTPACK\Spyware Doctor\swdoctor.exe
D:\INSTALL-DOWNLOADS\AntiSpyware\gcasDtServ.exe
D:\INSTALL-ENTPACK\Microsoft Office XP\Office10\WINWORD.EXE
D:\INSTALL-ENTPACK\Microsoft Office XP\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\INSTALL-ENTPACK\Microsoft Office XP\Office10\OUTLOOK.EXE
C:\WINDOWS\regedit.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\INSTALL-ENTPACK\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\INSTALL-ENTPACK\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "D:\INSTALL-ENTPACK\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [gcasServ] "D:\INSTALL-DOWNLOADS\AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE
O4 - HKCU\..\Run: [Spyware Doctor] "D:\INSTALL-ENTPACK\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\INSTAL~2\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110738121406
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32F61FE0-4DA6-4D3C-AAA3-4E03B5884749}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F2687DB-26CC-48A0-A61F-13C767B306D2}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE8E4837-0E06-4184-AD84-321424CDF1F5}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe




Bitte um rasche HILFE, da ich meinen Rechner nicht neu aufsetzen will
mail donkey@aon.at

DANKE im VORAUS
MARTIN

#2 Cyberman_X

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE<-->Trojan.Win32.Agent.cx"
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE-->"Trojan.Win32.Agent.cx"
O4 - HKCU\..\Run: [Spyware Doctor] "D:\INSTALL-ENTPACK\Spyware Doctor\swdoctor.exe" /Q
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\shdoclc.dll
C:\Windows\ghj.exe
C:\Windows\explorer32dbg.exe
C:\Windows\iexplore_dbg.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\WINDOWS\bhoass.dll

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hab das selbe problem muss ich das auch so machen
hier mal HijackThis Logfile

Logfile of HijackThis v1.99.0
Scan saved at 23:03:36, on 25.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\AcoN\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e55/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [tuloxFreeWBI] C:\Programme\tuloxFreeWBI\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [ChangeAOLRunOnce] C:\Windows\System\ChangeAOLRunOnce.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproactauthmirror/internetwasherpro.cab
O16 - DPF: {483912CF-8995-4434-AD61-6163756E05DF} (AXTNS Control) - http://download.livemath.com/activex/AXTNS.ocx
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C26E1A7-5C92-4D48-A098-921005ED55C5} - ms-its:mhtml:file://c:\nosuxyz.mht!http://213.158.119.18/auto/stoolbar.chm::/stoolbar.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E87AF91B-0311-4C81-9B73-D75942C63AA5}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

#4 Server response

--------------------------------------------------------------------------------

Results of a file scan
This is a report processed by VirusTotal on 04/25/2005 at 23:33:18 (CET) after scanning the file "MSIMN32.EXE" file.
Antivirus Version Update Result
AntiVir 6.30.0.7 04.25.2005 TR/Agent.CX
AVG 718 04.25.2005 no virus found
BitDefender 7.0 04.25.2005 no virus found
ClamAV devel-20050307 04.25.2005 Trojan.Agent-70
DrWeb 4.32b 04.25.2005 Trojan.StartPage.666
eTrust-Iris 7.1.194.0 04.24.2005 Win32/Startpage.31232!Trojan
eTrust-Vet 11.7.0.0 04.22.2005 no virus found
Fortinet 2.51 04.23.2005 W32/Agent.CX-tr
F-Prot 3.16b 04.25.2005 security risk named W32/Agent.MW
Ikarus 2.32 04.25.2005 Trojan.Win32.Agent.CX
Kaspersky 4.0.2.24 04.25.2005 Trojan.Win32.Agent.cx
McAfee 4476 04.25.2005 StartPage-DU.dll
NOD32v2 1.1077 04.25.2005 Win32/Agent.CX
Norman 5.70.10 04.20.2005 no virus found
Panda 8.02.00 04.25.2005 Adware/StartPage.AAU
Sybari 7.5.1314 04.25.2005 no virus found
Symantec 8.0 04.25.2005 no virus found
VBA32 3.10.3 04.25.2005 Trojan.Win32.Agent.cx

und

Server response

--------------------------------------------------------------------------------

Results of a file scan
This is a report processed by VirusTotal on 04/25/2005 at 23:31:12 (CET) after scanning the file "TASKMGRU.EXE" file.
Antivirus Version Update Result
AntiVir 6.30.0.7 04.25.2005 TR/Agent.CX
AVG 718 04.25.2005 no virus found
BitDefender 7.0 04.25.2005 no virus found
ClamAV devel-20050307 04.25.2005 Trojan.Agent-70
DrWeb 4.32b 04.25.2005 Trojan.StartPage.666
eTrust-Iris 7.1.194.0 04.24.2005 Win32/Startpage.31232!Trojan
eTrust-Vet 11.7.0.0 04.22.2005 no virus found
Fortinet 2.51 04.23.2005 W32/Agent.CX-tr
F-Prot 3.16b 04.25.2005 security risk named W32/Agent.MW
Ikarus 2.32 04.25.2005 Trojan.Win32.Agent.CX
Kaspersky 4.0.2.24 04.25.2005 Trojan.Win32.Agent.cx
McAfee 4476 04.25.2005 StartPage-DU.dll
NOD32v2 1.1077 04.25.2005 Win32/Agent.CX
Norman 5.70.10 04.20.2005 no virus found
Panda 8.02.00 04.25.2005 Adware/StartPage.AAU
Sybari 7.5.1314 04.25.2005 no virus found
Symantec 8.0 04.25.2005 no virus found
VBA32 3.10.3 04.25.2005 Trojan.Win32.Agent.cx

#5

Zitat

Sabina postete
Hallo@AcoN

START-->AUSFUEHREN-->regedit

Loesche: OFF

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe.OFF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe.OFF
HKEY_USERS\S-1-5-21-436374069-573735546-725345543-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}.OFF


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stlbd.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE
O16 - DPF: {4C26E1A7-5C92-4D48-A098-921005ED55C5} - ms-its:mhtml:file://c:\nosuxyz.mht!http://213.158.119.18/auto/stoolbar.chm::/stoolbar.cab

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Program Files\Media Pass\MediaPassK.exe
C:\Program Files\Media Pass\MediaPass.exe
C:\Program Files\Media Pass\MediaPassC.dll
C:\Program Files\Media Pass\Info.txt
C:\WINDOWS\temp\USB.exe
C:\WINDOWS\temp\oddworldz.exe
C:\WINDOWS\temp\istinstall.exe

C:\WINDOWS\ghj
C:\WINDOWS\explorer32dbg.exe
C:\WINDOWS\iexplore_dbg.exe
C:\WINDOWS\stlbd.dll
C:\WINDOWS\bhoass.dll
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp




Download NOD32 Antivirus System-->scanne im abgesicherten Modus+ mit dem Antivirus ebenfalls--> update ihn aber vorher
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

Antivirus
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mit beiden Antivirentools scannen

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

suche den Report vom Antivirus+NOD32 und poste sie mir

dann poste das neue Log vom Hijackthis

__________
MfG Sabina

rund um die PC-Sicherheit

#6 schließe mich gerne mal diesem thread an, da ich das gleiche Problem habe.

Internet Explorer Startseite wurde auf http://default.home geändert.

Norton AntiVirus 2005 findet einen Virus mit dem Namen Trojan.StartPage in der Datei C:\WINDOWS\bhoass.dll

Sobald Norton jedoch die Datei löscht, geht ein neues Pop-Up auf mit der Nachricht, dass Norton einen Virus gefunden hat. Überraschenderweise der gleiche, den er gerade gelöscht hat: Trojan.StartPage.

Ich schätze mal, dass das irgendwie mit den Dateien C:\WINDOWS\SYSTEM32\MSIMN32.EXE und C:\WINDOWS\SYSTEM32\TASKMGRU.EXE zu tun hat.

Hier mein HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:12:05, on 26.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\MSIMN32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll (file missing)
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Vielleicht weiß ja jemand Rat. Bis dahin werde ich mal mit den bereits für die anderen abgegebenen Tipps beschäftigen. Vielleicht hilft ja etwas.

Gruß

Chris


P.S. Habe gerade versucht Norton auszuschalten und habe dabei den Hinweis erhalten, dass ich jetzt nicht mehr gegen die sich schnell verbreitende Bedrohung W32.Mydoom.AX@mm geschützt bin. Ich denke mal, dass das schlecht ist, daher wollte ich es jetzt noch anfügen.

#7 HILFE! Ich habe das selbe Problem...


Logfile of HijackThis v1.99.1
Scan saved at 22:35:12, on 26.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\GMX Programme\cFos\cFosDNT.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AIM95\aim.exe
C:\programme\valve\steam\steam.exe
C:\WINNT\system32\MSIMN32.EXE
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\knut1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\GMX Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A68AA8C-DD43-4FC6-9583-E4CDBC254644}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

#8 Hallo@_chris

START-->AUSFUEHREN-->regedit

Loesche: OFF

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe.OFF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe.OFF
HKEY_USERS\S-1-5-21-436374069-573735546-725345543-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}.OFF


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINDOWS\bhoass.dll (file missing)
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINDOWS\System32\MSIMN32.EXE
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\ghj
C:\WINDOWS\explorer32dbg.exe
C:\WINDOWS\iexplore_dbg.exe
C:\WINDOWS\ghj.exe
C:\WINDOWS\stlbd.dll
C:\WINDOWS\bhoass.dll
C:\WINDOWS\System32\TASKMGRU.EXE
C:\WINDOWS\System32\MSIMN32.EXE

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
------
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit

#9 no_idea

START-->AUSFUEHREN-->regedit

Loesche: OFF

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe.OFF
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe.OFF
HKEY_USERS\S-1-5-21-436374069-573735546-725345543-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}.OFF


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\ghj
C:\WINNT\explorer32dbg.exe
C:\WINNT\iexplore_dbg.exe
C:\WINNT\ghj.exe
C:\WINNT\stlbd.dll
C:\WINNT\bhoass.dll
C:\WINNT\System32\TASKMGRU.EXE
C:\WINNT\System32\MSIMN32.EXE

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp


•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
-------------

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit

#10 VON @AcoN

Zitat

Sabina postete
Logfile of HijackThis v1.99.0
Scan saved at 22:23:10, on 26.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\AcoN\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.starfights.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e55/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tuloxFreeWBI] C:\Programme\tuloxFreeWBI\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [ChangeAOLRunOnce] C:\Windows\System\ChangeAOLRunOnce.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TASKMGRU] C:\WINDOWS\System32\TASKMGRU.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://i.rn11.com/iwasher/pptproactauthmirror/internetwasherpro.cab
O16 - DPF: {483912CF-8995-4434-AD61-6163756E05DF} (AXTNS Control) - http://download.livemath.com/activex/AXTNS.ocx
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E87AF91B-0311-4C81-9B73-D75942C63AA5}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe


-------------------------------------------
logfile von anti-vir ist ziemlich lang
anti-vir hat aber ein TR/Agent.CX gefunden und gelöscht
die logfile von NOD find ich net kp wo die ist
der hat aber auch ein Virus gefunden und den dann gelöcht

--------
scheint aber wohl nicht geklappt zu haben nach der HijackThis logfile
mein internet explorer funktioniert aber wieder normal
das einzige was ich noch merkwürdig find ist das ich unter start/programme
2 internet explorer zeichen find (dieses blaue "e"), eins mit namen daneben beim anderen steht allerdings garnix
(wenn ich auf dem aber drauf bleib steht da ort: Programme/Internet Explorer

ich weiß nicht ob der TR nu weg ist auf jedenfall funktioniert der explorer wieder wie er soll

__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo@AcoN

Auch wenn die liste lang ist, (Report vom Antivirus)--> poste sie mir unbedingt
+
•Online-Scann (Panda)--> poste, was noch gefunden wurde
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

-----------
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

Verabschiede dich bitte davon (fixen und deinstallieren+ mache die Windowsupdates)
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Scann von Anti-Vir
Start des Suchlaufs: Dienstag, 26. April 2005 20:29

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\AOL 6.0\AOLTEMP
setup32.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\AcoN
ntuser.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\AcoN\Desktop
Chiasa.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\AcoN\Desktop\Diskette\tata,C\C
GTA Vice City User Files.ace
ArchiveType: ACE
--> GTA Vice City User Files\Verkn�pfung mit GTA Vice City User Files.lnk
WARNUNG! Fehler beim Öffnen der Datei
C:\Dokumente und Einstellungen\AcoN\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\AcoN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\85MB8HEZ
LBAss012345678[1].txt
[FUND!] Ist das Trojanische Pferd TR/Agent.CX
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\AcoN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INQ7I9YB
rw2_021_w02_deu[1].exe
ArchiveType: CAB SFX (self extracting)
--> \aiodrv.msi
WARNUNG! Fehler beim Lesen der Datei
--> \aiosw.msi
WARNUNG! Fehler beim Lesen der Datei
--> \autorun.inf
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzcfg07.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzcon07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzeng07.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzflt07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzimb07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzimc07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzime07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzimp07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzjui07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzpcl07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzpre07.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzres07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzslk07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzstc07.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzstw07.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpztbi07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpztbu07.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpztbx07.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\com_os\hpzvip07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win2k_xp\hpz2ku07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win2k_xp\hpzcoi07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win2k_xp\hpzlnt07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win2k_xp\hpzntp07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win2k_xp\hpzsnt07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\HPZ9XD07.dr_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpz9xp07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpzfac07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpziol9x.vx_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpzion9x.vx_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpziop98.vx_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpziop9x.vx_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpziou01.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpzl9x07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpzs9x07.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpzsta9x.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \common\drivers\win9x_me\hpzstsin.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\HPOCABPR.HLP
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpocahpr.hlp
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpocampr.hlp
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpocaspr.hlp
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpof4007.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpof4107.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpofax08.dll
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop1007.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop1107.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop1207.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop2007.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop2107.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop2207.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop4007.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop4107.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpop6107.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpopd907.dat
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpzr3207.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\com_lang\hpzrp307.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\win9x_me\hpoupdrx.inf
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\win9x_me\HPZimn12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\win9x_me\hpzrp107.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\win9x_me\usbmon.dll
WARNUNG! Fehler beim Lesen der Datei
--> \deu\drivers\win9x_me\usbprint.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZid412.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZidr12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZinw12.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZipm12.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZipr12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZipr12.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZipt12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZisn12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZius12.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\Win2000\HPZs2k12.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZBRX12.PDR
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZid412.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZidr12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZimn12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZinw12.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZipm12.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZipr12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZipr12.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZipt12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZisn12.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZius12.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\HPZs9X12.sys
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\dot4\win98\usbmon.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Scanner\hpgtpusd.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Scanner\hpgwiamd.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Scanner\hpotscl.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Scanner\hpovst08.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Scanner\hpqgends.tmp
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Scanner\msvcp60.dll
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Scanner\usbscan.sy_
WARNUNG! Fehler beim Lesen der Datei
--> \Drivers\Uninst\deu\hpomdl01.dat
WARNUNG! Fehler beim Lesen der Datei
--> \hpoglu08.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpomdl01.dat
WARNUNG! Fehler beim Lesen der Datei
--> \hpoprn08.cat
WARNUNG! Fehler beim Lesen der Datei
--> \hpoprn08.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hposcu08.cat
WARNUNG! Fehler beim Lesen der Datei
--> \hposcu08.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpound08.inf
WARNUNG! Fehler beim Lesen der Datei
--> \HPOunp08.cat
WARNUNG! Fehler beim Lesen der Datei
--> \hpounp08.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpousb08.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpousc08.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpzc3212.dll
WARNUNG! Fehler beim Lesen der Datei
--> \hpzcin06.ex_
WARNUNG! Fehler beim Lesen der Datei
--> \hpzglu07.exe
WARNUNG! Fehler beim Lesen der Datei
--> \HPZid412.cat
WARNUNG! Fehler beim Lesen der Datei
--> \hpzid412.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpzion00.sy_
WARNUNG! Fehler beim Lesen der Datei
--> \hpziou01.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \HPZipr12.cat
WARNUNG! Fehler beim Lesen der Datei
--> \hpzipr12.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpzist12.cat
WARNUNG! Fehler beim Lesen der Datei
--> \hpzist12.inf
WARNUNG! Fehler beim Lesen der Datei
--> \HPZius12.cat
WARNUNG! Fehler beim Lesen der Datei
--> \hpzius12.inf
WARNUNG! Fehler beim Lesen der Datei
--> \hpzjlog.dll
WARNUNG! Fehler beim Lesen der Datei
--> \hpzjpp01.dll
WARNUNG! Fehler beim Lesen der Datei
--> \hpzjut01.dll
WARNUNG! Fehler beim Lesen der Datei
--> \hpzjvp01.dll
WARNUNG! Fehler beim Lesen der Datei
--> \hpzpnp07.dll
WARNUNG! Fehler beim Lesen der Datei
--> \hpzpom04.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \hpzscr07.dll
WARNUNG! Fehler beim Lesen der Datei
--> \hpzuci02.dl_
WARNUNG! Fehler beim Lesen der Datei
--> \HPZUCI12.DLL
WARNUNG! Fehler beim Lesen der Datei
--> \hpzusb00.sy_
WARNUNG! Fehler beim Lesen der Datei
--> \MFC42.DLL
WARNUNG! Fehler beim Lesen der Datei
--> \msvcirt.dll
WARNUNG! Fehler beim Lesen der Datei
--> \msvcrt.dll
WARNUNG! Fehler beim Lesen der Datei
--> \readme.html
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\Data.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\deu\Infodatei.html
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\hpoblk01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPOlex01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\hpomdl01.dat
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\hposcr01.dat
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\hposcr02.dat
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPOwrp01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPZarp01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPZchk01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPZpnp01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPZrein01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPZscr01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\HPZwis01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM1.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM10.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM11.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM12.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM13.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM14.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM15.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM16.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM17.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM18.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM19.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM20.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM21.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM22.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM23.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM24.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM27.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM3.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM4.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM5.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM6.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM7.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM8.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\MM9.Cab
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\1000.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\1031.mst
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\1100.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\1200.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\2100.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\2150.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\2170.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\2200.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\4100.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\4105.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\product\6100.msi
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\usbready.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\Wis\Win2K_XP\instmsi.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup\Wis\Win9x\instmsi.exe
WARNUNG! Fehler beim Lesen der Datei
--> \Setup.exe
WARNUNG! Fehler beim Lesen der Datei
--> \tls704d.dll
WARNUNG! Fehler beim Lesen der Datei
--> \usbmon.dll
WARNUNG! Fehler beim Lesen der Datei
--> \usbprint.sys
WARNUNG! Fehler beim Lesen der Datei
--> \util\AiO\hpopdi05.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\AiO\hpopin05.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\AiO\HPOprl01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\240075.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\270615USAM.EXE
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hposcr08.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hposcr12.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\HPZscr01.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.1000.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.1100.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.1200.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.2100.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.2150.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.2170.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.2200.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.4100.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.4105.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\bin\hpzscr12.6100.dat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\cleanup\cleanall.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\cleanup\hposcrlr.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\deu\Q283787_W2K_sp3_x86.EXE
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr1000.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr1100.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr1200.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr2100.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr2150.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr2170.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr2200.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr4100.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr4105.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\hpzscr6100.bat
WARNUNG! Fehler beim Lesen der Datei
--> \util\CCC\Q256858_W2K_SP1_x86.EXE
WARNUNG! Fehler beim Lesen der Datei
--> \util\cfgmgr32.dll
WARNUNG! Fehler beim Lesen der Datei
--> \util\common\hpzghl07.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\common\hpzpin07.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\HpAiOScrubber.exe
WARNUNG! Fehler beim Lesen der Datei
--> \util\setupapi.dll
WARNUNG! Fehler beim Lesen der Datei
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


D:\Eigene Dateien in D
The.Ring.2 .TS.LD.RSVCD@hightorrent.6x.to.rar
ArchiveType: RAR
--> The.Ring.2 .TS.LD.RSVCD@hightorrent.6x.to\The_Ring_II.mpg
HINWEIS! Die Datei ist passwortgeschützt
D:\Hitch
Hitch.RSVCD.German.LD.by.Raven seedet for www.torrent-zentrale.6x.to.rar
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Dienstag, 26. April 2005 21:21
Benötigte Zeit: 51:56 min


3585 Verzeichnisse wurden durchsucht
84039 Dateien wurden geprüft
241 Warnungen wurden ausgegeben
1 Datei wurde gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

--------------------------------------------------------------------------

Online Scan Panda

Incident Status Location

Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
Spyware:Spyware/Cydoor No disinfected C:\WINDOWS\System32\adcache
Adware:Adware/SaveNow No disinfected Windows Registry
Adware:Adware/Gator No disinfected C:\Programme\Gemeinsame Dateien\CMEII
Adware:Adware/MyWay No disinfected C:\Programme\MyWay
Adware:Adware/nCase No disinfected Windows Registry
Spyware:Spyware/ISTbar No disinfected C:\Programme\Gemeinsame Dateien\Totem Shared
Adware:Adware/IGetNet No disinfected C:\WINDOWS\System32\nlnp??.exe
Adware:Adware/SideSearch No disinfected C:\Dokumente und Einstellungen\AcoN\Anwendungsdaten\Lycos
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Adware:Adware/WildTangent No disinfected Windows Registry
Adware:Adware/ExactSearch No disinfected C:\WINDOWS\System32\ezstubi.???
Adware:Adware/SBSoft No disinfected C:\Dokumente und Einstellungen\AcoN\Anwendungsdaten\SBSoft
Adware:Adware/TopSearch No disinfected C:\Programme\kazaa\topsearch.dll
Adware:Adware/Startpage.NA No disinfected Windows Registry
Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\toolbar.exe
Adware:Adware/InstaFinder No disinfected C:\Programme\INSTAFINK
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\System32\P2P Networking
Possible Virus. No disinfected C:\Programme\EA Games\Battlefield 1942\fpupdate.exe
Adware:Adware/Gator No disinfected C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
Adware:Adware/InstaFinder No disinfected C:\Programme\INSTAFINK\InstaFinderK_inst.exe
Adware:Adware/InstaFinder No disinfected C:\Programme\INSTAFINK\instafink.dll
Adware:Adware/TopSearch No disinfected C:\Programme\Kazaa\TopSearch.dll
Spyware:Spyware/Cydoor No disinfected C:\WINDOWS\cdmxtras\uninst.exe
Adware:Adware/WUpd No disinfected C:\WINDOWS\Downloaded Program Files\MediaPassX.dll
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32m.sys
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\system32\Agent.dll
Virus:Trj/Downloader.CHU Disinfected C:\WINDOWS\system32\ctbv2.dll
Adware:Adware/ExactSearch No disinfected C:\WINDOWS\system32\ezStubi.dll
Possible Virus. No disinfected C:\WINDOWS\system32\msbb.dll
Possible Virus. No disinfected C:\WINDOWS\system32\msbb1.dll
Possible Virus. No disinfected C:\WINDOWS\system32\netpals.dll
Adware:Adware/IGetNet No disinfected C:\WINDOWS\system32\NLNP!3.exe
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
Adware:Adware/P2PNetworking No disinfected C:\WINDOWS\system32\P2P Networking v126.cpl
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\system32\SHAgent.dll
Adware:Adware/MyWay No disinfected C:\WINDOWS\system32\Xcite.dll
Adware:Adware/nCase No disinfected C:\WINDOWS\system32\Xcite.exe
Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\toolbar.exe
Possible Virus. No disinfected D:\Eigene Dateien in D\Downloads\BF 1942\BATTLEFIELD\BF1942.exe
Possible Virus. No disinfected D:\Eigene Dateien in D\Downloads\BF 1942\BATTLEFIELD.1942.12.ENG.LINEZERO.NOCD.zip[BF1942.exe]
Adware:Adware/nCase No disinfected D:\Eigene Dateien in D\Downloads\Programme\SoftwareInstall.exe

#13 •KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\nlnp??.exe
C:\Dokumente und Einstellungen\AcoN\Anwendungsdaten\Lycos
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\System32\ezstubi.???
C:\Dokumente und Einstellungen\AcoN\Anwendungsdaten\SBSoft

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

C:\Programme\INSTAFINK\InstaFinderK_inst.exe
C:\Programme\INSTAFINK\instafink.dll

C:\Programme\Kazaa\TopSearch.dll
C:\Programme\kazaa\topsearch.dll
C:\WINDOWS\cdmxtras\uninst.exe
C:\WINDOWS\Downloaded Program Files\MediaPassX.dll
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\smdat32m.sys

C:\WINDOWS\system32\SHAgent.dll
C:\WINDOWS\system32\Agent.dll

C:\WINDOWS\system32\ctbv2.dll
C:\WINDOWS\system32\ezStubi.dll
C:\WINDOWS\system32\msbb.dll
C:\WINDOWS\system32\msbb1.dll
C:\WINDOWS\system32\netpals.dll
C:\WINDOWS\system32\NLNP!3.exe

C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\P2P Networking v126.cpl

C:\WINDOWS\system32\Xcite.dll
C:\WINDOWS\system32\Xcite.exe
C:\WINDOWS\toolbar.exe
D:\Eigene Dateien in D\Downloads\Programme\SoftwareInstall.exe

PC neustarten

Loesche;

C:\WINDOWS\System32\adcache
C:\Programme\MyWay
C:\Programme\Gemeinsame Dateien\Totem Shared
C:\Programme\INSTAFINK
C:\Programme\Gemeinsame Dateien\CMEII
C:\Programme\Gemeinsame Dateien\GMT

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Ad-Aware SE Build 1.05
Logfile Created ononnerstag, 28. April 2005 21:16:59
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R42 28.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


28.04.2005 21:16:59 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-507921405-1343024091-1060284298-1003\software\nvidia corporation\global\nview\windowmanagement
Description : nvidia nview cached application window positions


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 612
ThreadCreationTime : 28.04.2005 19:14:12
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 684
ThreadCreationTime : 28.04.2005 19:14:14
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 708
ThreadCreationTime : 28.04.2005 19:14:18
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 752
ThreadCreationTime : 28.04.2005 19:14:19
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 764
ThreadCreationTime : 28.04.2005 19:14:19
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 952
ThreadCreationTime : 28.04.2005 19:14:20
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1088
ThreadCreationTime : 28.04.2005 19:14:21
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [stylexpservice.exe]
FilePath : C:\Programme\TGTSoft\StyleXP\
ProcessID : 1116
ThreadCreationTime : 28.04.2005 19:14:21
BasePriority : Normal
FileVersion : 0, 20, 0, 0
ProductVersion : 0, 20, 0, 0
ProductName : StyleXPService Module
FileDescription : StyleXPService Module
InternalName : StyleXPService
LegalCopyright : Copyright 2001
OriginalFilename : StyleXPService.EXE

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1328
ThreadCreationTime : 28.04.2005 19:14:23
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1360
ThreadCreationTime : 28.04.2005 19:14:23
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1508
ThreadCreationTime : 28.04.2005 19:14:24
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:12 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1784
ThreadCreationTime : 28.04.2005 19:14:31
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:13 [aolacsd.exe]
FilePath : C:\Programme\Gemeinsame Dateien\AOL\ACS\
ProcessID : 1800
ThreadCreationTime : 28.04.2005 19:14:32
BasePriority : Normal


#:14 [avkservice.exe]
FilePath : C:\Programme\Virenschutz\
ProcessID : 1840
ThreadCreationTime : 28.04.2005 19:14:33
BasePriority : Normal
FileVersion : 1, 0, 0, 3
ProductVersion : 11, 0, 0, 0
ProductName : AVKService Module
FileDescription : AVKService Module
InternalName : AVKService
LegalCopyright : Copyright G DATA Software AG 2001-2003
OriginalFilename : AVKService.EXE

#:15 [avkwctl.exe]
FilePath : C:\Programme\Virenschutz\
ProcessID : 1856
ThreadCreationTime : 28.04.2005 19:14:33
BasePriority : Normal
FileVersion : 16, 0, 0, 8
ProductVersion : 12, 0, 0, 0
ProductName : AVK
FileDescription : AVKWCtl Monitor Service
InternalName : AVKWCtl
OriginalFilename : AVKWCtl.EXE

#:16 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1896
ThreadCreationTime : 28.04.2005 19:14:33
BasePriority : Normal


#:17 [btwdins.exe]
FilePath : C:\Programme\Belkin\Bluetooth Software\bin\
ProcessID : 1920
ThreadCreationTime : 28.04.2005 19:14:34
BasePriority : Normal
FileVersion : 3.0.1.912
ProductVersion : 3.0.1.912
ProductName : Bluetooth Software 3.0.1.912
CompanyName : Broadcom Corporation
FileDescription : Bluetooth Support Server
InternalName : BTWDIns
LegalCopyright : Copyright 2000-2004 Broadcom Corporation
OriginalFilename : BTWDIns.EXE

#:18 [nod32krn.exe]
FilePath : C:\Programme\Eset\
ProcessID : 196
ThreadCreationTime : 28.04.2005 19:14:34
BasePriority : Normal


#:19 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 220
ThreadCreationTime : 28.04.2005 19:14:35
BasePriority : Normal
FileVersion : 6.13.10.3082
ProductVersion : 6.13.10.3082
ProductName : NVIDIA Driver Helper Service, Version 30.82
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 30.82
InternalName : NVSVC
LegalCopyright : (c) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:20 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 344
ThreadCreationTime : 28.04.2005 19:14:37
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:21 [wdfmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 400
ThreadCreationTime : 28.04.2005 19:14:37
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:22 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1340
ThreadCreationTime : 28.04.2005 19:14:51
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:23 [wkssb.exe]
FilePath : C:\Programme\Microsoft Works\
ProcessID : 1976
ThreadCreationTime : 28.04.2005 19:15:00
BasePriority : Normal
FileVersion : 6.00.1911.0
ProductVersion : 6.00.1911.0
ProductName : Microsoft® Works 6.0
CompanyName : Microsoft® Corporation
FileDescription : Microsoft® Works PortFolio
InternalName : WKSPF
LegalCopyright : Copyright © Microsoft Corporation 1987-2000. All rights reserved.
OriginalFilename : WksSb.exe

#:24 [nod32kui.exe]
FilePath : C:\Programme\Eset\
ProcessID : 284
ThreadCreationTime : 28.04.2005 19:15:12
BasePriority : Normal


#:25 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 688
ThreadCreationTime : 28.04.2005 19:15:17
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:26 [rundll32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 944
ThreadCreationTime : 28.04.2005 19:15:22
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

#:27 [bttray.exe]
FilePath : C:\Programme\Belkin\Bluetooth Software\
ProcessID : 1264
ThreadCreationTime : 28.04.2005 19:15:30
BasePriority : Normal
FileVersion : 3.0.1.912
ProductVersion : 3.0.1.912
ProductName : Bluetooth Software 3.0.1.912
CompanyName : Broadcom Corporation
FileDescription : Bluetooth Tray Application
InternalName : BTTray
LegalCopyright : Copyright 2000-2004 Broadcom Corporation
OriginalFilename : BTTray.exe

#:28 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 2128
ThreadCreationTime : 28.04.2005 19:16:30
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:29 [rundll32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2164
ThreadCreationTime : 28.04.2005 19:16:38
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1



Deep scanning and examining files (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Deep scanning and examining files (D
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 1




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1

21:27:26 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:10:27.242
Objects scanned:121509
Objects identified:0
Objects ignored:0
New critical objects:0


------
bei dem ad-aware scann öfnet sich NOD32 Antivirus System Warnung:

Virusinformation
Datei:
C:\System Volume Information\_restore{B49B1A5B-2C94-4F88-8F62-5C0...\A0206623.exe
Virus:
Win32/Agent.CX Trojaner
Kommentar:
AMON kann diese Infektion NICHT säubern. Ereignis beim Versuch auf die Datei zuzugreifen.

ich kann den nicht löschen unbennen oder in quarantäne verschieben
das NOD32 fenster kommt immer wieder bis ich einfach auf schließen geh

#15 Hallo@AcoN

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

noch einmal bitte-->•Online-Scann (Panda)--> berichte vom Scann
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
__________
MfG Sabina

rund um die PC-Sicherheit