DR/Agent.BQ.2 - ich pack's einfach nicht |
||
---|---|---|
#0
| ||
06.05.2005, 00:03
...neu hier
Beiträge: 6 |
||
|
||
06.05.2005, 00:56
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@DominikPB
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Workstation NetLogon Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Workstation NetLogon Service " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. Start-->Ausfuehren--> regedit loesche mit rechtsklick: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ruhsw.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047 R3 - Default URLSearchHook is missing F1 - win.ini: run= C:\SPIELE\WEST\INSTICON.EXE O2 - BHO: (no name) - {8955C38D-4C95-80AA-4D9C-204125ADD200} - C:\WINDOWS\crfs.dll O2 - BHO: GetPostLog module - {C9B0D3DC-DC2B-4a17-8E34-02CD4C1E573F} - C:\WINDOWS\gpl.dll O4 - HKLM\..\Run: [sdkll32.exe] C:\WINDOWS\system32\sdkll32.exe O4 - HKLM\..\Run: [apiko32.exe] C:\WINDOWS\system32\apiko32.exe O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\datisock.exe C:\WINDOWS\ruhsw.dll C:\WINDOWS\crfs.dll C:\WINDOWS\gpl.dll C:\WINDOWS\system32\sdkll32.exe C:\WINDOWS\system32\apiko32.exe C:\WINDOWS\system32\mfccq32.exe PC neustarten deinstalliere den Antivirus und lade ihn neu, dann konfiguriere ihn und gehe unbedingt in den abgresicherten Modus und mache dort einen Komplettscann. Dann gehe wieder in den Normalmodus, poste mir den Report vom Scann und das neue Log vom HijackTHis ------------------------------------------------------------ Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + das neue Log vom HIjacktHis+ Report vom Scan (Antivirus) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.05.2005, 09:40
...neu hier
Themenstarter Beiträge: 6 |
#3
Soooo.... also, ich hab das jetzt Schritt für Schritt durchgeführt, aber es gab ein paar Probleme:
1. Bei: Start-->Ausfuehren--> regedit loesche mit rechtsklick: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I ...gab es kein ControlSet003 sondern nur 002 - und das ohne Unterschlüssel, ausserdem war im CurrentControlSet nichts vorhanden. 2. Im Schritt mit Hijack waren O4 - HKLM\..\Run: [apiko32.exe] C:\WINDOWS\system32\apiko32.exe O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe ebenfalls nicht vorhanden 3. Nach dem Neustart ging wieder ein automatisches PopUp auf, als Desktophintergrund hab ich immer noch irgendeine automatische html-Seite... Killbox und CCleaner hab ich grad ausgeführt, jetzt gehts weiter... Hoffentlich klappt das, ich schreib grad meine Diplomarbeit an dem Notebook, das brauche ich! Nächste Meldung: Habe Antivir deinstalliert und neu gezogen - die apiko32.exe wird immernoch gefunden, trotz dem Killboxprogramm. Ausserdem 2 weitere Trojaner, TR/Agent.BI und TR/Dldr.VBS.Iwi.G.1, wobei letzterer gelöscht wurde von Antivir.... (angeblich....)[/b] Dieser Beitrag wurde am 06.05.2005 um 09:52 Uhr von DominikPB editiert.
|
|
|
||
06.05.2005, 10:30
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@DominikPB
ich brauche den Report vom Antivirus + Lade: rkfiles.zip -->entpacken-->Gehe in den abgesicherten Modus-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.05.2005, 10:40
...neu hier
Themenstarter Beiträge: 6 |
#5
Report von AntiVir:
Erstellungsdatum der Reportdatei: Freitag, 6. Mai 2005 09:43 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005 Hauptptogramm 6.30.00.17 vom 07.03.2005 VDF-Datei 6.30.0.158 (0) vom 05.05.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 167291 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 1) Benutzername: Besitzer Computername: DOMINIK Prozessor: Pentium Arbeitsspeicher: 457712 KB frei Versionsinformationen: AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVEWIN32.DLL : 6.30.0.12 819712 05.05.2005 22:44:28 AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50 AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20 GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32 AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26 AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26 AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50 AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10 AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12 AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32 AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32 AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18 AVRep.DLL : 6.30.00.157 1089576 05.05.2005 22:44:30 INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26 INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26 CTL3D32.DLL : 2.31.000 27136 02.04.2003 21:00:00 MFC42.DLL : 6.00.8665.0 995383 02.04.2003 21:00:00 MSVCRT.DLL : 7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL : 7.0.2600.1106 323072 02.04.2003 21:00:00 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: /ah /bask /ns Startmodus: Markierte Laufwerke Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [ ] Alle Dateien [X] Programmdateien Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Besitzer\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: C: Festplatte D: CDRom E: Festplatte F: CDRom Start des Suchlaufs: Freitag, 6. Mai 2005 09:43 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk E: OK Laufwerk: C: Volume ID: Seri*hier nicht!* No.: 1A42-5B6B C:\ hiberfil.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! q123.vbs [FUND!] Ist das Trojanische Pferd TR/Dldr.VBS.Iwi.G.2 WURDE GELÖSCHT! sm.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.VBS.Iwi.G.1 WURDE GELÖSCHT! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery AlexaRelated.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Possibleextensionhijack.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt webHancer.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar irc.jar-5c67b3b1-3da4745f.zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt Fehler beim Wechsel in das Verzeichnis EIGENE~4.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦ Fehler beim Wechsel in das Verzeichnis DIPLOM~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦ Fehler beim Wechsel in das Verzeichnis INTERA~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦ C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS javaqa.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! mfcdt32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\WINDOWS\Downloaded Program Files v3.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.XO WURDE GELÖSCHT! C:\WINDOWS\system32 iegg32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! javarp.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! mslv32.exe [FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2 Konnte nicht gelöscht werden! sdkwq.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! sysln32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI Konnte nicht gelöscht werden! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Laufwerk: E: Volume ID: Volume Seri*hier nicht!* No.: 3026-B2BB E:\Programme\Nero nero6009.exe ArchiveType: RAR SFX (self extracting) Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0138984D nve20022.exe ArchiveType: RAR SFX (self extracting) Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0138984D Fehler beim Wechsel in das Verzeichnis System Volume Information Ende des Suchlaufs: Freitag, 6. Mai 2005 10:30 Benötigte Zeit: 46:45 min 4023 Verzeichnisse wurden durchsucht 56595 Dateien wurden geprüft 9 Warnungen wurden ausgegeben 8 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 10 Viren bzw. unerwünschte Programme wurden gefunden |
|
|
||
06.05.2005, 10:46
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@DominikPB
•KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\mslv32.exe C:\WINDOWS\System32\sysln32.exe PC neustarten dann scanne noch mal (im abgesicherten Modus) mit Antivirus +Report posten Lade: rkfiles.zip -->entpacken-->Gehe in den abgesicherten Modus-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.05.2005, 10:55
...neu hier
Themenstarter Beiträge: 6 |
#7
Killbox sagt mir, beide Dateien scheinen nicht zu existieren....
wenn ich rkfiles.bat ausführe ist das DOS Fenster nur superkurz auf, verschwindet sofort wieder - unter Ausführen: C:\log.txt geht ein Fenster auf, in dem gar nix drin steht.... Ich lasse jetzt noch mal AntiVir durchlaufen, schätze mal der findet wieder die gelockten Dateien, denn immer wenn ich den IE aufmache, meldet der AntiVirGuard mir die.... (allerdings nicht bei Firefox) |
|
|
||
06.05.2005, 12:26
...neu hier
Beiträge: 1 |
#8
anitvir findet bei mir den trojaner TR/Drop.Agent und stürzt unmittelbar danach ab.
ad-aware hilft leider auch nicht, obwohl ich das aktuelle update habe. brüchte bitte auch detailierte hilfe! danke im voraus Logfile of HijackThis v1.99.1 Scan saved at 12:15:09, on 06.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\LEXBCES.EXE I:\WINDOWS\system32\spoolsv.exe I:\WINDOWS\system32\LEXPPS.EXE I:\Programme\AVPersonal\AVWUPSRV.EXE I:\Agnitum\OUTPOS~1\outpost.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\Explorer.EXE I:\WINDOWS\system32\RunDll32.exe I:\Programme\Java\j2re1.4.2_04\bin\jusched.exe I:\Programme\DU Meter\DUMeter.exe I:\WINDOWS\system32\ctfmon.exe I:\Programme\MSN Messenger\MsnMsgr.Exe I:\Skype\Phone\Skype.exe I:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe I:\Programme\Opera\opera.exe I:\Dokumente und Einstellungen\Saro\Eigene Dateien\Setup Files\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [DU Meter] I:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [SearchUpgrader] I:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Outpost Firewall] I:\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [wingo] I:\WINDOWS\system32\wingo.exe O4 - HKCU\..\Run: [Skype] "I:\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [winshost.exe] I:\WINDOWS\system32\winshost.exe O4 - HKCU\..\Run: [keydrv.exe] I:\WINDOWS\system32\winsystems.exe O4 - Global Startup: Adobe Gamma Loader.lnk = I:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: LG SyncManager.lnk = ? O8 - Extra context menu item: &Google Search - res://i:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://i:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://i:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://i:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - I:\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - I:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - I:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O17 - HKLM\System\CCS\Services\Tcpip\..\{45E549DC-BFE8-461D-910A-779C8F7EAA2B}: NameServer = 195.34.133.18,195.34.133.19 O17 - HKLM\System\CS1\Services\Tcpip\..\{45E549DC-BFE8-461D-910A-779C8F7EAA2B}: NameServer = 195.34.133.18,195.34.133.19 O17 - HKLM\System\CS2\Services\Tcpip\..\{45E549DC-BFE8-461D-910A-779C8F7EAA2B}: NameServer = 195.34.133.18,195.34.133.19 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - I:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - I:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - I:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - I:\Agnitum\OUTPOS~1\outpost.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - I:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe |
|
|
||
06.05.2005, 15:41
...neu hier
Themenstarter Beiträge: 6 |
#9
Erstellungsdatum der Reportdatei: Freitag, 6. Mai 2005 10:51
AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005 Hauptptogramm 6.30.00.17 vom 07.03.2005 VDF-Datei 6.30.0.158 (0) vom 05.05.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 167291 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 1) Benutzername: Besitzer Computername: DOMINIK Prozessor: Pentium Arbeitsspeicher: 457712 KB frei Versionsinformationen: AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVEWIN32.DLL : 6.30.0.12 819712 05.05.2005 22:44:28 AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50 AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20 GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32 AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26 AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26 AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50 AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10 AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12 AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32 AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32 AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18 AVRep.DLL : 6.30.00.157 1089576 05.05.2005 22:44:30 INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26 INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26 CTL3D32.DLL : 2.31.000 27136 02.04.2003 21:00:00 MFC42.DLL : 6.00.8665.0 995383 02.04.2003 21:00:00 MSVCRT.DLL : 7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL : 7.0.2600.1106 323072 02.04.2003 21:00:00 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [ ] Alle Dateien [X] Programmdateien Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Besitzer\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [X] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: C: Festplatte D: CDRom E: Festplatte F: CDRom Start des Suchlaufs: Freitag, 6. Mai 2005 10:51 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk E: OK C:\ hiberfil.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery AlexaRelated.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt FlashTrack9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Possibleextensionhijack.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt webHancer.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar irc.jar-5c67b3b1-3da4745f.zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt Fehler beim Wechsel in das Verzeichnis EIGENE~4.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦ Fehler beim Wechsel in das Verzeichnis DIPLOM~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦ Fehler beim Wechsel in das Verzeichnis INTERA~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦ C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! E:\Programme\Nero nero6009.exe ArchiveType: RAR SFX (self extracting) Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0138984D nve20022.exe ArchiveType: RAR SFX (self extracting) Interner Fehler bei Entpackroutine; ERROR: Aktuelles AntiVir Ergebnis: ARRAY_BOUNDS_EXCEEDED EIP = 0138984D Fehler beim Wechsel in das Verzeichnis System Volume Information Ende des Suchlaufs: Freitag, 6. Mai 2005 11:36 Benötigte Zeit: 45:03 min 4033 Verzeichnisse wurden durchsucht 56541 Dateien wurden geprüft 7 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 15:43:47, on 06.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\SLEE503.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\hphmon05.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\HPQ\One-Touch\OneTouch.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX01.060\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A0ABA889-5C38-D4C9-B80A-84D9CC204125} - C:\WINDOWS\system32\nthk.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [mslv32.exe] C:\WINDOWS\system32\mslv32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd3d29af0c6206/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099776705625 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316 O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe --- Immernoch seltsames Hintergrundbild, ne html Seite, sobald ich online gehe und der IE startet meldet der VirenGuard 2 Trojaner... MELDUNGEN: C:\WINDOWS\D3FS32.EXE ist das Trojanische Pferd TR/Agent.BI C:\WINDOWS\JAVAIM32.EXE enthält Signatur des Droppers DR/Agent.BQ.2 C:\WINDOWS\SYSHJ32.EXE enthält Signatur des Droppers DR/Agent.BQ.2 -> Killbox sagt wieder, dass diese Dateien gar nicht existieren. Ich verzweifle. EDIT um 17:25 -> Das Notebook fährt nicht mehr hoch!!! Da ist meine Diplomarbeit drauf!!! Ich brauche jetzt ECHT Hilfe!!! EDIT um 17:36 -> ist wieder hochgefahren. Was mach ich denn nun? Dieser Beitrag wurde am 06.05.2005 um 17:38 Uhr von DominikPB editiert.
|
|
|
||
07.05.2005, 23:19
...neu hier
Beiträge: 1 |
#10
Hallo allerseits.
ich hab auch das püroblem mim DR/Agent.BQ.2 kenn mich leider nicht aus was zu machen ist. ich hab durchs forumlesen jetzt mitgekriegt dass HiJackThis ein nützliches Tool is. Ich poste mal meine Logdatei: Logfile of HijackThis v1.99.1 Scan saved at 23:18:12, on 07.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\D-Tools\daemon.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\ABIT\ABIT uGuru\uGuru.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe f:\Programme\Logitech\MouseWare\system\em_exec.exe F:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe C:\WINDOWS\system32\ctfmon.exe f:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\system32\svchost.exe f:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\mmc.exe F:\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www6.inode.at/config/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) O2 - BHO: Class - {5647877C-ADBE-FD3B-A987-FEBDB1C44A71} - C:\WINDOWS\system32\msht32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] f:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [iTunesHelper] F:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [Mirabilis ICQ] F:\PROGRA~1\ICQpro\ICQNet.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] F:\Programme\AceGain\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [iprq.exe] C:\WINDOWS\system32\iprq.exe O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite5\ICQLite.exe -trayboot O4 - Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQpro\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQpro\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite5\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite5\ICQLite.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{35F0B7C0-9047-49A9-A8E7-952DC5C965DC}: NameServer = 195.58.160.194 195.58.161.122 O17 - HKLM\System\CS1\Services\Tcpip\..\{35F0B7C0-9047-49A9-A8E7-952DC5C965DC}: NameServer = 195.58.160.194 195.58.161.122 O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntug.exe (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - f:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - f:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe ich hoffe irgendwer kann mir helfen, hab nämlich überhaupt keine ideen mehr. Grüße & danke für alle Antworten, MRuler |
|
|
||
08.05.2005, 11:47
...neu hier
Themenstarter Beiträge: 6 |
#11
Tja, also da mir niemand mehr antwortet, werde ich heute abend wohl mein Notebook platt machen. Wird zwar ne üble Arbeit, aber was solls. Fang schon mal an, Daten zu sichern ^^
Dominik |
|
|
||
Also: Seit ich das Ding drauf habe, lässt sich Ad-aware nicht mehr starten, genausowenig wie meine Sygate Firewall. Antivir findet zwar immer was, kann es aber nicht löschen, da gelockt.
Hijack gibt mir folgende Info:
Logfile of HijackThis v1.99.1
Scan saved at 23:48:26, on 05.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\mfccq32.exe
C:\WINDOWS\system32\apiko32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\System32\datisock.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.358\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R3 - Default URLSearchHook is missing
F1 - win.ini: run= C:\SPIELE\WEST\INSTICON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8955C38D-4C95-80AA-4D9C-204125ADD200} - C:\WINDOWS\crfs.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: GetPostLog module - {C9B0D3DC-DC2B-4a17-8E34-02CD4C1E573F} - C:\WINDOWS\gpl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [sdkll32.exe] C:\WINDOWS\system32\sdkll32.exe
O4 - HKLM\..\Run: [apiko32.exe] C:\WINDOWS\system32\apiko32.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd3d29af0c6206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099776705625
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe
Da ich mich mit sowas überhaupt nicht auskenne, brauche ich echt detaillierte Hilfe....
DANKE!
Ach PS: Der packt mir immer irgendwelche Sex-Seiten in die Favoriten.... ??!!