Qhosts.apd Trojaner+Troj/Dumaru-AQ (winldra.exe) |
||
---|---|---|
#0
| ||
29.04.2005, 19:47
...neu hier
Beiträge: 4 |
||
|
||
29.04.2005, 23:03
Member
Beiträge: 239 |
#2
C:\WINDOWS\System32\winldra.exe
Lass diese Datei hier online prüfen: http://www.kaspersky.com/de/remoteviruschk.html Rolfs |
|
|
||
29.04.2005, 23:19
Ehrenmitglied
Beiträge: 6028 |
||
|
||
30.04.2005, 00:52
...neu hier
Themenstarter Beiträge: 4 |
#4
@ Rolffs:
Die winldra.exe ist dem Test nach ok, obwohl sie mir auch etwas komisch vorkommt.. Allerdings hab ich zwei andere Sachen gefunden, die aber anscheinend nicht mit dem Qhosts zusammenhängen (oder vielleicht doch??). Beim Online Symantec Check hab ich folgende gefunden (allerdings ist der Scan und Computer danach wieder abgestürtzt - Bluescreen und Neustart!!) : 1: PWSteal.Bankash.D (unter Kaspersky heißt er Trojan-Downloader.Win32.Small.aok) - infizierte Datei: c:\Windows\system32\cm.exe 2: Trojan.KillAV (unter Kaspersky: Trojan-Dropper.VBS.Small.d) - infizierte Datei: c:\system32\start.hta Die Removal-Anleitung von Symantec hab ich, muß aber erst meine Lizenz verlängern, um danach vorzugehen. Denke, ich krieg es hin die zu löschen, aber das andere Problem bleibt... Gruß und Dank |
|
|
||
30.04.2005, 02:32
Ehrenmitglied
Beiträge: 29434 |
#5
BlaquePanda
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe O23 - Service: cpuidle - Unknown owner - C:\windows\system32\drivers\etc\cpuidle\SRVANY.EXE (file missing) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" c:\Windows\system32\cm.exe c:\system32\start.hta C:\WINDOWS\System32\lfo.dll C:\WINDOWS\System32\winldra.exe PC neustarten suche /loesche (im abgesicherten Modus) dvp.log dvpd.dll netdx.dat prntsvra.dll winsms.dll fe43e701.htm Loeschen temporaere Dateien--> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost •CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm Trojan.Qhosts Removal Tool http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.removal.tool.html Der Qhosts infiziert die host-Datei, das Removaltool muesste sie umbenennen und muesste sie nach Neustart neu erstellt werden. Wenn das alles gemacht ist: •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml ------------------------------------------------------------------------------------------------------- Troj/Dumaru-AQ ist ein Trojaner für die Windows-Plattform, der Backdoorzugriff auf und die Steuerung über den Computer ermöglicht, Tastenfolgen speichert und vertrauliche Daten an einen remoten Speicherort sendet. Sobald er ausgeführt wird, kopiert sich Troj/Dumaru-AQ mit dem Dateinamen winldra.exe in den Windows-Systemordner. Damit er beim Windows-Start automatisch aktiviert wird, erstellt er den folgenden Registrierungseintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run load32 "winldra.exe" Troj/Dumaru-AQ kann die folgenden Dateien im Windows-Ordner erstellen: dvpd.dll netdx.dat prntsvra.dll winsms.dll sowie folgende Datei im Windows-Temp-Ordner: fe43e701.htm Dabei sind dvpd.dll, prntsvra.dll und winsms.dll DLL-Komponenten des Trojaners. Prntsvra.dll ist eine DLL-Komponente von Troj/Dumaru-AQ, die von dem Troj/Dumaru-AQ Programm in den Explorer-Prozess eingefügt wird. Winsms.exe wird von Sophos Anti-Virus als Troj/Dumaru-AT erkannt. Troj/Dumaru-AQ spürt Daten in der Zwischenablage, Fenstertext, Kennwörter im Cache und vertrauliche Daten in der Systemregistrierung, darunter Daten im Zusammenhang mit Webmoney, Far Manager, Total Commander Ftp und dem The Bat! E-Mail-Client, auf. Dvpd.dll wird von Troj/Dumaru-AQ dazu verwendet, den Inhalt von Webseiten zu überwachen und Text auf ausgewählten Banken-Websites zu speichern. Troj/Dumaru-AQ speichert Text in Browser-Fenstern, die folgende Zeichenfolgen enthalten: 'e-gold.com', 'intgold.com', 'emocorp.com', 'ameritrade.com', 'etrade.co', 'alliance-leicesterbusinessbanking.co', 'lloydstsb.co', '365online.co', 'natwest.co', 'bankofscotland.co', 'barclays.co', 'netmastergold.co', 'rbs.co' , 'firstdirect.co', 'smile.co', 'hsbc.co', 'virginone.co', 'zurichbank.co', 'abbey.co', 'halifax.co', 'aeacu.com', 'uboc.com', 'enternetbank.com', 'plainscapital.com', 'jacksonstatebank.com' and 'citibank.com'. Der gespeicherte Text wird in einer Protokolldatei namens dvp.log gespeichert. Troj/Dumaru-AQ sendet die gespeicherten Daten per E-Mail an einen remoten Speicherort. Wenn diese Daten gesendet wurden, erstellt Troj/Dumaru-AQ den folgenden Registrierungseintrag: HKCU\Software\SARS\mailsended = 1 Troj/Dumaru-AQ verändert die HOSTS-Datei, um den Zugriff auf Antiviren-Websites aus der Liste unten zu blockieren, indem er sie mit der Loopback-Adresse 127.0.0.1 verknüpft: avp.com ca.com customer.symantec.com dispatch.mcafee.com download.mcafee.com f-secure.com kaspersky.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com my-etrust.com nai.com networkassociates.com rads.mcafee.com secure.nai.com securityresponse.symantec.com sophos.com symantec.com trendmicro.com update.symantec.com updates.symantec.com us.mcafee.com us.mcafee.com/root/ - --- ------ http://www.sophos.de/virusinfo/analyses/trojdumaruaq.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2005, 10:44
...neu hier
Themenstarter Beiträge: 4 |
#6
@ Sabina!
Hallo!! Also ich habe alle Schritte befolgt, alle Temp Dateien gelöscht etc. pp. Nun sieht es wirklich so aus, als hätte ich die Trojaner endlich gelöscht... alle Virenscanns verliefen positiv und ich glaube, mein Computer ist nun endlich clean!!! Vielen vielen Dank für die klasse Unterstützung und die sehr konstruktive Hilfe!!!! Die war wirklich gold wert und rettet mir im Moment den Hals :-) Meine Anerkennung!!!!! Wünsche allen eine schöne Woche! Liebe Grüße, Dominik |
|
|
||
02.05.2005, 11:12
Member
Beiträge: 1132 |
#7
Hallo BlaquePanda,
Du bist zwar Dank der exzellenten Unterstützung von Sabina im Moment gerettet. Überlege aber einmal, woher Du die Trojaner hast. Vermeide es, dass Du den Rechner gleich wieder infizierst! Also, Vorsicht beim Surfen und informiere Dich, wie man Infektionen verhindern kann. Jede Menge an Infos dazu findest Du hier im Board. Viel Erfolg bei der Diplomarbeit! Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
02.05.2005, 14:17
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@BlaquePanda
gehe noch mal in die Registry und berichte, ob du diesen Schluessel findest: HKCU\Software\SARS\mailsended = 1 dann gehe auf diese Seite und lade den Cleaner fuer:I-Worm.Dumaru.a-m http://www.kaspersky.com/de/removaltools?vtopen=146410248#open http://www.kaspersky.com/de/removaltools dann sieh dich mal auf meiner Site um, da gibt es viele Tipps fuer die Sicherheit..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2005, 21:22
...neu hier
Themenstarter Beiträge: 4 |
#9
@ Sabina
Den Reg-Eintrag hab ich gefunden, das Removal Tool hat aber nichts finden können... Soll ich den Schlüssel verändern, oder sonst irgendetwas bezüglich des Dumaru tun? Habe nochmal einen Scan mit HighjackThis gemacht, falls das nochmal helfen könnte. Die Antivirenscanns haben übrigens allesamt nichts mehr angezeigt... Logfile of HijackThis v1.99.1 Scan saved at 21:20:05, on 02.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\BlaquePanda\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe LG, Dominik |
|
|
||
02.05.2005, 23:55
Ehrenmitglied
Beiträge: 29434 |
#10
So erkennen Sie "W32/Dumaru"
Die Absender-Adressen der infizierten Mails können sich unterscheiden, eine lautet beispielsweise FUCKENSUICIDE@HOTMAIL.COM. Im Betreff-Text steht "Important information for you. Read it immediately" und im Mail-Text "Here is my photo, that you asked for yesterday". Der Wurm selber steckt im Zip-Anhang mit dem Namen "myphoto.zip", dessen Größe 17.613 Bytes ist. In der Zip-Datei ist eine Datei mit der Bezeichnung "myphoto.jpg(viele Leerzeichen).exe" enthalten. Also Leute mal wieder die Antivirensoftware auf den neuesten Stand bringen. Einen Hinweis darauf, ob ein Rechner von dem Wurm befallen ist, liefert ein Blick in die Registry. Der Wurm trägt dort den Pfad "HKEY_LOCAL_MACHINE\Software\SARS" ein. mit rechtsklick loeschen HKCU\Software\SARS\mailsended = 1 HKEY_LOCAL_MACHINE\Software\SARS •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ausserdem habe ich keinen vollen Virenschutz da mein Norton AntiVirus abgelaufen ist...
Hier mal das Log aus HighjackThis:
Logfile of HijackThis v1.99.1
Scan saved at 18:55:04, on 29.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\winldra.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Dokumente und Einstellungen\BlaquePanda\Eigene Dateien\Daten\Programme\McAfeeAvertStinger253.exe
C:\Dokumente und Einstellungen\BlaquePanda\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bild.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: cpuidle - Unknown owner - C:\windows\system32\drivers\etc\cpuidle\SRVANY.EXE (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
Ich sitze schon den ganzen Tag am Rechner und versuche ihn runter zu kriegen, die alten Threads hab ich durchgestöbert, aber die dort genannten Files sind bei mir nicht vorhanden, d.h ich brauche wohl ein neues "Rezept" oder eine Anleitung wie ich ihn wegbekomme?!!
Ich bitte dringendst um Hilfe, da ich an meinem Diplom schreibe und von meinem Computer abhängig bin :-(
Lieber Gruß, Dominik