Win32.Sober.Q@mm +Microsoft Update"="wystcl.exe |
||
---|---|---|
#0
| ||
26.05.2005, 13:07
...neu hier
Beiträge: 3 |
||
|
||
26.05.2005, 17:33
Ehrenmitglied
Beiträge: 29434 |
#2
Citystar
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe O4 - HKLM\..\Run: [Client for Microsoft Networks] msclient32.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\RunServices: [Microsoft Help System] mshelp32.exe O4 - HKLM\..\RunServices: [Win32 Secure Updates] spoolvsc.exe O4 - HKLM\..\RunServices: [*Microsoft Update] wystcl.exe O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe O4 - HKCU\..\RunServices: [Microsoft Help System] mshelp32.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O23 - Service: *Microsoft Update - Unknown owner - C:\WINDOWS\System32\wystcl.exe (file missing) PC neustarten •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: *Microsoft Update Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) reinkopieren: wystcl.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" c:\program files\180solutions\sais.exe c:\windows\otixeh.exe c:\program files\180solutions\sais.log c:\program files\180solutions\saisau.dat c:\program files\180solutions\saishook.dll c:\program files\180solutions\sais_gdf.dat c:\program files\180solutions\sais_kyf.dat C:\WINDOWS\System32\mshelp32.exe C:\WINDOWS\System32\msclient32.exe C:\WINDOWS\System32\spoolvsc.exe C:\Program Files\Media Access\MediaAccK.exe C:\Program Files\Media Access\MediaAccess.exe C:\Program Files\Media Access\Info.txt C:\Program Files\Media Access\MediaAccC.dll C:\Programme\BullsEye Network\bin\bargains.exe C:\WINDOWS\System32\msxct.exe C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll C:\Program Files\Windows AdStatus\WinStat.exe C:\Program Files\Windows AdStatus\WinStatComm.dll C:\Program Files\Windows AdStatus\WinStatKeep.exe C:\Program Files\AdTools Service\AdTools.exe C:\Program Files\AdTools Service\AdToolsKeep.exe C:\Program Files\AdTools Service\AdTools.dll C:\Programme\ISTsvc\istsvc.exe C:\WINDOWS\Downloaded Program Files\istactivex.dll C:\WINDOWS\Downloaded Program Files\ISTactivex.inf C:\Programme\SideFind\sfbho.dll C:\Programme\SideFind\sfbho13.dll C:\Programme\SideFind\sidefind.dll C:\Programme\SideFind\update\sidefind.exe C:\Programme\SideFind\sidefind.dll C:\WINDOWS\System32\wystcl.exe PC neustarten loeschen: C:\programme\180solutions C:\Programme\SideFind C:\Program Files\Windows AdStatus\ C:\Program Files\AdTools Service C:\WINDOWS\EliteToolBar C:\Programme\BullsEye Network C:\Program Files\Media Access\ CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html #TuneUp2004 (30 Tage free) http://virus-protect.org/reinigungstoolsregistry.html Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner •Ad-aware SE Personal 1.05 Updated http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann mache einen Onlinescan mit panda (mit dem IE) und poste, was angezeigt wird http://virus-protect.org/onlinescan.html + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.05.2005, 08:39
...neu hier
Themenstarter Beiträge: 3 |
#3
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "*Microsoft Update" 28.05.2005 08:37:24 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000] "Service"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000] "DeviceDesc"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update] "DisplayName"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000] "Service"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000] "DeviceDesc"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update] "DisplayName"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000] "Service"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000] "DeviceDesc"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update] "DisplayName"="*Microsoft Update" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update\Enum] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe"+ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "wystcl.exe" 28.05.2005 08:39:44 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe" Logfile of HijackThis v1.99.1 Scan saved at 09:12:44, on 28.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe c:\Programme\Sophos\AutoUpdate\ALsvc.exe c:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/ O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. – C Logfile of HijackThis v1.99.1 Scan saved at 09:15:29, on 28.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe c:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/ O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Dieser Beitrag wurde am 28.05.2005 um 09:17 Uhr von Citystar editiert.
|
|
|
||
28.05.2005, 15:11
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Citystar
Worm/Sober.gen, W32/Sober.q@MM, Win32.Sober.Q@mm, Der Trojaner versendet rechtsradikale Spam-Emails. Der Wurm hat ein internes Triggerdatum vom 11.05.2005. Am 15.05.2005 0:00h fängt er seine Spamroutine an. 12 Tage ab Triggerdatum lädt er eine weitere Variante von sich nach. Folgend die vom Sober.Q versandten Spam-Emails: http://www.antivir-pe.de/de/vireninfos/virenlexikon/index.html?show=1&no_cache=1&tx_ideaavviruslex_pi2[showUid]=841 Gehe in die Registry Start-->Ausfuehren-->regedit fettgeschriebenes loeschen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run] " WinStart"="C:\WINDOWS\Connection Wizard\Status\services.exe" [HKEY_CURRENT_USER\Software\Microsoft\Window s\CurrentVersion\Run] " WinStart"="C:\WINDOWS\Connection Wizard\Status\services.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*Microsoft Update [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\*Microsoft Update [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*MICROSOFT_UPDATE\0000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*Microsoft Update HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run "*Microsoft Update"="wystcl.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "*Microsoft Update"="wystcl.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-21-1957994488-1214440339-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "*Microsoft Update"="wystcl.exe" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "*Microsoft Update"="wystcl.exe"+ Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. öffne den Editor und kopiere rein: del c:\*.tmp del %temp%\*.tmp /f del %windir%\prefetch\*.* del %windir%\temp\*.* /f del C:\dokumente und Einstellungen\*\lokale Einstellungen\temp\*.* /f "Speichern unter" -- auf dem Desktop als: clean.bat als: "alle Dateien". Doppelklick aud die "clean.bat" file . ------------------------------ Fixe mit dem HijackThis: O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone PC neustarten •Antivirus (free) http://virus-protect.org/antivirenfree.html Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml TR/Spam.Sober.Q ist mit dem Laufzeitpacker UPX gepackt und hat eine Dateigröße 53.801 Bytes. Er wurde von AntiVir im Vorfeld mit einer generischen Signatur als Worm/Sober.gen erkannt. TR/Spam.Sober.Q ausgeführt, erstellt er folgende Dateien: C:\WINDOWS\Help\Help\services.exe C:\WINDOWS\Help\Help\csrss.exe C:\WINDOWS\Help\Help\smss.exe C:\WINDOWS\Help\Help\sacri1.ggg (Emailadressen) C:\WINDOWS\Help\Help\sacri2.ggg (Emailadressen) C:\WINDOWS\Help\Help\sacri3.ggg (Emailadressen) C:\WINDOWS\Help\Help\voner1.von (Emailadressen) C:\WINDOWS\Help\Help\voner2.von (Emailadressen) C:\WINDOWS\Help\Help\voner3.von (Emailadressen) C:\WINDOWS\Help\Help\fastso.ber (0 Bytes) C:\WINDOWS\System32\Spammer.ReadMe mache einen Komplettscan mit dem Antivirus--> poste mir dann den Report vom Scan+ das neue Log vom HijackThis (falls dein pc sehr langsam wird, deaktiviere die anderen Virenscanner) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
was kann ich tun?
das log file sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 13:06:33, on 26.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\msclient32.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programme\iPod\bin\iPodService.exe
C:\programme\180solutions\sais.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\msxct.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msclient32.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunServices: [Microsoft Help System] mshelp32.exe
O4 - HKLM\..\RunServices: [Win32 Secure Updates] spoolvsc.exe
O4 - HKLM\..\RunServices: [*Microsoft Update] wystcl.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Help System] mshelp32.exe
O4 - HKCU\..\Run: [Win32 Secure Updates] spoolvsc.exe
O4 - HKCU\..\Run: [*Microsoft Update] wystcl.exe
O4 - HKCU\..\Run: [_WinStart] C:\WINDOWS\Connection Wizard\Status\services.exe
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\RunServices: [Microsoft Help System] mshelp32.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E38B1D49-5B56-4355-9C5D-B06C9F81949E}: NameServer = 195.3.96.68 213.33.98.136
O23 - Service: *Microsoft Update - Unknown owner - C:\WINDOWS\System32\wystcl.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
danke für die hilfe im voraus
mfg
citystar