adware kann nicht entfernt werden!!! |
||
---|---|---|
#0
| ||
11.05.2005, 22:05
...neu hier
Beiträge: 5 |
||
|
||
12.05.2005, 08:02
Member
Beiträge: 239 |
#2
Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm. Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten. Rolfs |
|
|
||
12.05.2005, 16:55
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@hansaman
Du kannst auch das Log vom HijackThis posten (dann bekommen wir die Kiste schon sauber) HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.05.2005, 21:17
...neu hier
Themenstarter Beiträge: 5 |
#4
hallo! da bin ich wieder,kenn mich leider noch nicht so gut mit dem pc aus habe aber alles durchgeführt und versuche es euch zu senden,hauptsache ihr nehmt mich hier nicht auf die schippe! und nutzt meine unkenntniss aus.
Logfile of HijackThis v1.99.1 Scan saved at 21:16:37, on 12.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Demo\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\J River\Media Center 11\DMDownload.htm O9 - Extra button: IEbatch (IE automation program) - {331AFAD7-55BB-49D3-A32B-510930B9FBD9} - C:\Programme\IEbatch\Bin\IEbatch.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?11 15114076593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2F6E8520-AA10-4097-9985-29C70AB2E2FE}: NameServer = 205.188.146.145 O21 - SSODL: NTWSMON - {1A67A360-97F5-496B-9E2D-4EF7B490EDB1} - C:\WINDOWS\system32\msvconui.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL nun gut was sagt euch das????? gruß andy SpeedManager\tsmsvc.exe |
|
|
||
13.05.2005, 00:03
...neu hier
Beiträge: 2 |
#5
Hallo,
habe auch seit gestern erhebliche Probleme. Wäre super nett, wenn mir mal jemand helfen könnte. Beim Starten des IE kommen direkt Viren-Meldungen, u.a. TR/Agent.BI, Die Startseite ist automatisch auf "blank" gestellt. Hier mein Log-File von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 00:01:35, on 13.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Apoint2K\Apoint.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Antivir\AVGNT.EXE C:\Programme\Antivir\AVGUARD.EXE C:\Programme\Antivir\AVWUPSRV.EXE C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\crrh.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\*********\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {29139193-52D7-7EFC-F253-8C73A2C8A5D7} - C:\WINDOWS\winqk.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [crrh.exe] C:\WINDOWS\crrh.exe O4 - HKLM\..\RunOnce: [winry32.exe] C:\WINDOWS\system32\winry32.exe O4 - HKLM\..\RunOnce: [netki32.exe] C:\WINDOWS\system32\netki32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivir\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
|
|
||
13.05.2005, 08:14
Member
Beiträge: 669 |
#6
Hallo MarcD,
http://board.protecus.de/t16317.htm durchlesen und abarbeiten bitte. Besorge dir ins besondere folgende Programme und scanne damit wie in der Anleitung beschrieben: se.dll\sp.html - Cleaner-Tool http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html CWShredder: http://cwshredder.net/bin/CWShredder.exe AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html eScan http://www.mwti.net/antivirus/free_utilities.asp Lasse zuerst das se.dll\sp.html - Cleaner-Tool drüber laufen und danach die anderen Programme wie beschrieben und poste auch anschließend ein Logfile vom eScan und HijackThis. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
13.05.2005, 13:44
...neu hier
Beiträge: 2 |
#7
Hallo Malkesh,
erstmal danke für die Hinweise! Habe alles wie gesagt befolgt. Als ich gerade ins Internet gegangen bin, war meine Startseite aber wieder verstellt und diese Virusmeldung kam: TR/Agent.BI Habe jetzt IE runtergeschmissen und Mozilla installiert. Habe soweit jetzt keine Probleme mehr.Wäre aber trotzdem nett, wenn mal jemand gucken könnte, ob ich noch was ändern soll. Hier ist der Log von HijackThis und der Virus Log von eScan: Logfile of HijackThis v1.99.1 Scan saved at 13:36:39, on 13.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Antivir\AVGUARD.EXE C:\Programme\Antivir\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Apoint2K\Apoint.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Antivir\AVGNT.EXE C:\WINDOWS\crrh.exe C:\Dokumente und Einstellungen\***********\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {29139193-52D7-7EFC-F253-8C73A2C8A5D7} - C:\WINDOWS\winqk.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [crrh.exe] C:\WINDOWS\crrh.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivir\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe eScan Virus Log Thu May 12 22:35:51 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Thu May 12 22:36:00 2005 => System found infected with Gator Spyware/Adware ({21FFB6C0-0DA1-11D5-A9D5-00500413153C})! Action taken: No Action Taken. Thu May 12 22:36:00 2005 => File System Found infected by "Gator Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:00 2005 => System found infected with MyBar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken. Thu May 12 22:36:00 2005 => File System Found infected by "MyBar Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:00 2005 => System found infected with AltnetBDE Spyware/Adware (adm4.adm4)! Action taken: No Action Taken. Thu May 12 22:36:00 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:00 2005 => System found infected with AltnetBDE Spyware/Adware (adm25.adm25)! Action taken: No Action Taken. Thu May 12 22:36:00 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:03 2005 => Offending value found in HKCU\Software\cydoor !!! Thu May 12 22:36:03 2005 => System found infected with Kazaa Spyware/Adware! Action taken: No Action Taken. Thu May 12 22:36:03 2005 => File System Found infected by "Kazaa Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:03 2005 => Offending value found in HKLM\Software\myway !!! Thu May 12 22:36:03 2005 => System found infected with myway Spyware/Adware! Action taken: No Action Taken. Thu May 12 22:36:03 2005 => File System Found infected by "myway Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:03 2005 => Offending value found in HKLM\Software\gator.com !!! Thu May 12 22:36:03 2005 => System found infected with gator Spyware/Adware! Action taken: No Action Taken. Thu May 12 22:36:03 2005 => File System Found infected by "gator Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:04 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw !!! Thu May 12 22:36:04 2005 => System found infected with sw Spyware/Adware! Action taken: No Action Taken. Thu May 12 22:36:04 2005 => File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:04 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se !!! Thu May 12 22:36:04 2005 => System found infected with CoolWebSearch Spyware/Adware! Action taken: No Action Taken. Thu May 12 22:36:04 2005 => File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:04 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa !!! Thu May 12 22:36:04 2005 => System found infected with hsa Spyware/Adware! Action taken: No Action Taken. Thu May 12 22:36:04 2005 => File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:05 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\my way speedbar uninstall !!! Thu May 12 22:36:05 2005 => System found infected with my way speedbar Spyware/Adware! Action taken: No Action Taken. Thu May 12 22:36:05 2005 => File System Found infected by "my way speedbar Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:06 2005 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken. Thu May 12 22:36:06 2005 => File System Found infected by "altnet Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:25 2005 => System found infected with AltnetBDE Spyware/Adware (altnet signing module.exe)! Action taken: No Action Taken. Thu May 12 22:36:25 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:25 2005 => System found infected with AltnetBDE Spyware/Adware (adm.exe)! Action taken: No Action Taken. Thu May 12 22:36:25 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Thu May 12 22:36:25 2005 => System found infected with AltnetBDE Spyware/Adware (adm25.dll)! Action taken: No Action Taken. Thu May 12 22:36:25 2005 => File System Found infected by "AltnetBDE Spyware/Adware" Virus. Action Taken: No Action Taken. Danke nochmals für die Hilfe! Dieser Beitrag wurde am 13.05.2005 um 15:23 Uhr von MarcD editiert.
|
|
|
||
14.05.2005, 16:09
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@hansaman
Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O9 - Extra button: IEbatch (IE automation program) - {331AFAD7-55BB-49D3-A32B-510930B9FBD9} - C:\Programme\IEbatch\Bin\IEbatch.exe (file missing) O21 - SSODL: NTWSMON - {1A67A360-97F5-496B-9E2D-4EF7B490EDB1} - C:\WINDOWS\system32\msvconui.dll PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken C:\WINDOWS\system32\msvconui.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes" PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.05.2005, 16:24
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo MarcD,
Gehe in die Registry Start-->Ausfuehren--> regedit HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw<--loeschen HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\my way speedbar uninstall HKEY_CLASSES_ROOT\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\iwfoa.dll/sp.html#55135 R3 - Default URLSearchHook is missing O2 - BHO: Class - {29139193-52D7-7EFC-F253-8C73A2C8A5D7} - C:\WINDOWS\winqk.dll O4 - HKLM\..\Run: [crrh.exe] C:\WINDOWS\crrh.exe O4 - HKLM\..\RunOnce: [winry32.exe] C:\WINDOWS\system32\winry32.exe O4 - HKLM\..\RunOnce: [netki32.exe] C:\WINDOWS\system32\netki32.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\winqk.dll C:\WINDOWS\system32\winry32.exe C:\WINDOWS\Temp\Altnet\Setup.exe C:\WINDOWS\Temp\Altnet\adm4.dll C:\WINDOWS\Temp\Altnet\adm25.dll C:\WINDOWS\Temp\Altnet\adm.exe C:\WINDOWS\Temp\Altnet\admprog.dll C:\Program Files\Altnet\Download Manager\asmps.dll C:\Program Files\Altnet\Download Manager\asm.exe C:\WINDOWS\system32\netki32.exe C:\WINDOWS\crrh.exe PC neustarten gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Konfiguriere den Antivirus, mache einen Komplettscann+ poste den Report vom Scann Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien loesche: smdat32a.sys ----------------------------- CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp suche den panda-Scann (scanne und berichte) http://virus-protect.org/onlinescan.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.05.2005, 22:52
...neu hier
Themenstarter Beiträge: 5 |
#10
hallo sabina!
erstmal vielen dank für deine hilfe,sende dir jetzt mal den log von DLL COMPARE * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\msexcl35.dll Thu 9 Sep 1999 22:06:38 A.S.. 252.688 246,77 K C:\WINDOWS\SYSTEM32\msjet35.dll Tue 28 Sep 1999 21:42:48 A.S.. 1.050.896 1,00 M C:\WINDOWS\SYSTEM32\msjint35.dll Thu 10 Jun 1999 9:34:04 A.S.. 123.664 120,77 K C:\WINDOWS\SYSTEM32\msjter35.dll Thu 10 Jun 1999 9:34:04 A.S.. 24.848 24,27 K C:\WINDOWS\SYSTEM32\msltus35.dll Thu 9 Sep 1999 22:06:38 A.S.. 168.720 164,77 K C:\WINDOWS\SYSTEM32\mspdox35.dll Mon 7 Jun 1999 18:59:34 A.S.. 250.128 244,27 K C:\WINDOWS\SYSTEM32\msrd2x35.dll Sun 25 Apr 1999 17:00:00 A.S.. 252.176 246,27 K C:\WINDOWS\SYSTEM32\msrepl35.dll Wed 25 Aug 1999 14:57:26 A.S.. 415.504 405,77 K C:\WINDOWS\SYSTEM32\mstext35.dll Thu 30 Sep 1999 19:21:24 A.S.. 166.672 162,77 K C:\WINDOWS\SYSTEM32\msxbse35.dll Sun 25 Apr 1999 17:00:00 A.S.. 287.504 280,77 K C:\WINDOWS\SYSTEM32\vbar332.dll Sun 25 Apr 1999 17:00:00 A.S.. 368.912 360,27 K ________________________________________________ 1.411 items found: 1.411 files (11 H/S), 0 directories. Total of file sizes: 306.502.570 bytes 292,30 M Administrator Account = Wahr --------------------End log--------------------- vielleicht hilft das ja,würde mich freuen wenn du mir weiter hilfst.danke. mfg hansaman[/img] |
|
|
||
17.05.2005, 00:00
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@Hansaman
Welche "Beschwerden" hat eigentlich der PC ????? Du hast nichts darueber geschrieben. Ich warte auf die anderen Logs. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.05.2005, 22:19
...neu hier
Themenstarter Beiträge: 5 |
#12
hallo sabina!
wenn ich mit norton system works auf viren prüfe,bekomme ich immer die nachricht:12 risikobehaftete dateien gefunden z.b.: C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JF97Z9SW\jeanette-biedermann-pictures-003[2].htm Beschreibung: Die Datei C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JF97Z9SW\jeanette-biedermann-pictures-003[2].htm ist eine Adware-Bedrohung. Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Adware.CDT kannst du damit was anfangen??? danke mfg hansaman |
|
|
||
30.05.2005, 12:31
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@hansaman
C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JF97Z9SW\<---loeschen CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html hast du die C:\WINDOWS\system32\msvconui.dll geloescht? ---------------------------------------------------------------------- •Ad-aware SE Personal 1.05 Updated http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann Mache bitte einen Onlinescan mit panda+ berichte http://virus-protect.org/onlinescan.html -------------------- INFO:Adware.CDT http://securityresponse.symantec.com/avcenter/venc/data/adware.cdt.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.06.2005, 20:56
...neu hier
Themenstarter Beiträge: 5 |
#14
hallo sabina!
danke nochmals für deine hilfe,habe mit ccleaner mein problem behoben. läuft wieder supi die karre. gut das es hilfe im forum gibt. mfg hansaman |
|
|
||
05.10.2005, 12:36
...neu hier
Beiträge: 7 |
#15
Hallo zusammen!
Bin neu hier und hab ein Problem: Die folgende Datei ist eine Adware.CDT Bedrohung. c:\RECYCLER\S-1-5-21-1454471165-1844823847-839522115-1004\Dc8.html Hab schon AdAware, Spybot, Cleanprog, und ähnliches probiert - ohne Erfolg, weil keines der Programme den Ordner RECYCLER findet. Hab alle versteckten Ordner und Dateien anzeigen lassen. Finde ihn trotzdem nicht. Bitte um Hilfe. DRINGEND! Hier mein LogFile: Logfile of HijackThis v1.99.1 Scan saved at 12:23:12, on 05.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security 2004\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WFXSVC.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\WinFax Pro 8.0\WFXMOD32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\PDF-XChange SDK EndUser\PDFSaver.exe C:\Programme\Norton Internet Security 2004\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\alg.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security 2004\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security 2004\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office XP\Office10\OSA.EXE O4 - Global Startup: PDF-Capture.lnk = C:\Programme\PDF-XChange SDK EndUser\PDFSaver.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9879F791-CF3E-4A9D-BDF7-37F7AC4A9472}: NameServer = 195.70.224.45 213.90.38.3 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security 2004\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security 2004\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE |
|
|
||
wer kann helfen,jedesmal wenn ich bei norton systemworks 2004 eine virenprüfung durchführe bekomme ich etliche adware bedrohungen die ich dann versuche zu löschen,aber leider lassen sie sich nicht entfernen und spucken weiter auf menem pc rum, kann mir jemand helfen wie ich die dinger wieder los werde?
hier mal eine liste wie die bedrohung heißt:
Adware.CDT
Adware.Istbar
vielen dank für eure hilfe
hansaman