Desktop HTML +C:\spad\start.html |
||
|---|---|---|
| #0
| ||
|
26.05.2005, 18:20
Member
Beiträge: 13 |
||
 
|
|
|
|
26.05.2005, 21:02
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@DerVerzweifl
das ist keine Problem: silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.05.2005, 21:22
Member
Themenstarter Beiträge: 13 |
#3
Supi Sabina, vielen Dank!! Werde ich jetzt alles mal machen!! Bis später!!
So hier die Daten!!! Hier die gewünschten Daten!! 1. "Silent Runners.vbs", revision 37, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "STYLEXP" = "C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide" [empty string] "DriveCrypt Startup" = "E:\Installierte Programme\DriveCrypt.exe /WS" ["SecurStar GmbH"] "Longhorn SideBar" = "C:\WINDOWS\SideBar\SideBar.exe" ["Lee Matthew Chantrey"] "Intel system tool" = "C:\WINDOWS\System32\winnook.exe" [file not found] "Uewggh" = ** WARNING! empty or invalid data ** "LDM" = "\Program\BackWeb-8876480.exe" [file not found] "Aoue" = "C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\Anwendungsdaten\irun.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SmcService" = "E:\INSTAL~1\Smc.exe -startgui" ["Sygate Technologies, Inc."] "SoundMan" = "soundman.exe" ["Avance Logic, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "CloneCDElbyCDFL" = ""E:\Installierte Programme\Clone CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"] "DAEMON Tools-1033" = ""E:\Installierte für Filme\daemon.exe" -lang 1033" ["VeNoM386 and SwENSkE"] "zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "TkBellExe" = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot" ["RealNetworks, Inc."] "RemoteControl" = "C:\WINDOWS\System32\rmctrl.exe" [null data] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "routcnf" = "C:\Programme\Telekom\Eumex 404PC\routcnf.exe" [file not found] "TerraTec Scheduler" = "C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe" ["TerraTec Electronic GmbH"] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."] "DataLayer" = "C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" ["Nokia Mobile Phones Ltd."] "PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [empty string] "KAV50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss" ["Kaspersky Lab"] "gcasServ" = ""C:\Programme\Microsoft AntiSpyware\gcasServ.exe"" [MS] "rxkldw" = "c:\windows\system32\onnbhkt.exe" ["TODO: <Company name>"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {05D84231-6A74-4B1B-836C-4310B7ACD928}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\ablb.dll" [file not found] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {3B9C486D-A8DF-FB21-8D2B-A77F131EDDC0}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\rvisdge.dll" [null data] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD" -> {CLSID}\InProcServer32\(Default) = "E:\Installierte Programme\Clone CD\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "E:\Installierte Programme\Win RAR 3.2\rarext.dll" [null data] "{A4DF5659-0801-4A60-9607-1C48695EFDA9}" = "Ordner HP Share-to-Web" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL" ["Hewlett-Packard"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"] "{2AA59FC0-31E8-42DA-9D3C-E9A52953853B}" = "CopyToCD shell extension" -> {CLSID}\InProcServer32\(Default) = "H:\COPYTO~1\COPYTO~1\CTCDSH~1.DLL" [file not found] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{40950107-FEA6-4d53-A65F-B2DCBA57DD58}" = "Nokia Phone Browser" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{FBFE7864-D495-41f0-B7DC-4BB601CC295E}" = "Contact View" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\ContactView.dll" ["Nokia"] "{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft AntiSpyware\shellextension.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "Shell" = "Explorer.exe C:\WINDOWS\Nail.exe" [MS], [null data] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/plain\CLSID = "{78D10310-E947-4B6E-BB1C-BE5EBD8139F9}" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\ablb.dll" [file not found] Enabled Active Desktop and Wallpaper: ------------------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ "FriendlyName" = "Security v2" "Source" = "C:\WINDOWS\desktop.html" "SubscribedURL" = "" Startup items in "Dirk" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart "Acrobat Assistant" -> shortcut to: "E:\Installierte Programme\Acrobat\Distillr\AcroTray.exe" ["Adobe Systems Inc."] "CAPIControl" -> shortcut to: "C:\Programme\Telekom\Eumex 404PC\Capictrl.exe" ["DeTeWe AG & Co."] "Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe /start" ["Logitech"] Enabled Scheduled Tasks: ------------------------ "Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {CLSID}\(Default) = "&Google" -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {CLSID}\(Default) = "&Google" -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {CLSID}\(Default) = "&Google" -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ {237AA178-C3BC-4F67-A8BB-D8BC14BA0B89}\ HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."] {9713E227-D150-43DA-B68C-9617AD886403}\ "ButtonText" = "concept/design's onlineTV" "Exec" = "E:\Installierte Programme\onlineTV\onlineTV.exe" ["concept/design"] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] DriveCrypt Service, DriveCryptService, "E:\Installierte Programme\DcrServ.exe" [null data] GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] StyleXPService, StyleXPService, ""C:\Programme\TGTSoft\StyleXP\StyleXPService.exe"" [empty string] ---------- This report excludes default entries except where indicated. To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. ---------- Und nu 2. Logfile of HijackThis v1.99.1 Scan saved at 21:33:30, on 04.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\Installierte Programme\DcrServ.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\soundman.exe E:\Installierte für Filme\daemon.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\rmctrl.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\System32\ctfmon.exe E:\Installierte Programme\DriveCrypt.exe C:\WINDOWS\System32\w?auboot.exe C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\Anwendungsdaten\irun.exe c:\windows\system32\onnbhkt.exe E:\Installierte Programme\Acrobat\Distillr\AcroTray.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\regedit.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe C:\Programme\HardCopy Pro\HardCopy.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: (no name) - {05D84231-6A74-4B1B-836C-4310B7ACD928} - C:\WINDOWS\System32\ablb.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3B9C486D-A8DF-FB21-8D2B-A77F131EDDC0} - C:\WINDOWS\System32\rvisdge.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SmcService] E:\INSTAL~1\Smc.exe -startgui O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Installierte Programme\Clone CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Installierte für Filme\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [rxkldw] c:\windows\system32\onnbhkt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [DriveCrypt Startup] E:\Installierte Programme\DriveCrypt.exe /WS O4 - HKCU\..\Run: [Longhorn SideBar] C:\WINDOWS\SideBar\SideBar.exe O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe O4 - HKCU\..\Run: [Uewggh] C:\WINDOWS\System32\w?auboot.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [Aoue] C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\Anwendungsdaten\irun.exe O4 - Global Startup: Acrobat Assistant.lnk = E:\Installierte Programme\Acrobat\Distillr\AcroTray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: concept/design's onlineTV - {9713E227-D150-43DA-B68C-9617AD886403} - E:\Installierte Programme\onlineTV\onlineTV.exe O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\System32\remove_it.dll (file missing) (HKCU) O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101717471598 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O18 - Filter: text/plain - {78D10310-E947-4B6E-BB1C-BE5EBD8139F9} - C:\WINDOWS\System32\ablb.dll O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - E:\Installierte Programme\DcrServ.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Installierte Programme\Smc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Jetzt bin ich ja mal gespannt:-) Danke für die gute Erklärung habe selbst ich kapiert!! Dieser Beitrag wurde am 26.05.2005 um 21:37 Uhr von DerVerzweifl editiert.
|
|
|
|
|
|
|
26.05.2005, 22:53
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@DerVerzweifl
Hijacker about:blank - se.dll\sp.html--> scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Gehe in die Registry~ Start-->Ausfuehren-->regedit HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ loeschen: "FriendlyName" = "Security v2" "Source" = "C:\WINDOWS\desktop.html" "SubscribedURL" = " HKEY_CURRENT_USER/Software/DateTime loeschen (falls es da ist: "pid"= <Process ID> "uid"= <Random value> "port"=<Listening Proxy Port> #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: (no name) - {05D84231-6A74-4B1B-836C-4310B7ACD928} - C:\WINDOWS\System32\ablb.dll (file missing) O2 - BHO: (no name) - {3B9C486D-A8DF-FB21-8D2B-A77F131EDDC0} - C:\WINDOWS\System32\rvisdge.dll O4 - HKLM\..\Run: [rxkldw] c:\windows\system32\onnbhkt.exe O4 - HKCU\..\Run: [Longhorn SideBar] C:\WINDOWS\SideBar\SideBar.exe O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe O4 - HKCU\..\Run: [Uewggh] C:\WINDOWS\System32\w?auboot.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [Aoue] C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\Anwendungsdaten\irun.exe O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\System32\remove_it.dll (file missing) (HKCU) O18 - Filter: text/plain - {78D10310-E947-4B6E-BB1C-BE5EBD8139F9} - C:\WINDOWS\System32\ablb.dll O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes C:\WINDOWS\System32\w?auboot.exe C:\WINDOWS\drexinit.dll C:\WINDOWS\System32\hqcm.dll C:\WINDOWS\isrvs\ffisearch.exe C:\WINDOWS\isrvs\desktop.exe C:\WINDOWS\isrvs\mfiltis.dll C:\WINDOWS\isrvs\sysupd.dll C:\WINDOWS\ffisearch.exe\script.dat C:\WINDOWS\ffisearch.exe C:\WINDOWS\isrvs\edmond.exe c:\windows\system32\raempgu.exe C:\WINDOWS\System32\c_10230.dll C:\WINDOWS\SideBar\SideBar.exe C:\WINDOWS\System32\winnook.exe c:\windows\system32\onnbhkt.exe C:\WINDOWS\System32\ablb.dll C:\WINDOWS\System32\rvisdge.dll C:\WINDOWS\svcproc.exe C:\WINDOWS\Bolger.dll C:\WINDOWS\Nail.exe C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\Anwendungsdaten\irun.exe C:\WINDOWS\System32\remove_it.dll PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html C:\WINDOWS\SideBar\ <--loeschen Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. Mache Onlinescan (mit panda)--> mit dem IE und poste mir alles, was angezeigt wird •Online-Scann (Panda) http://virus-protect.org/onlinescan.html + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.05.2005, 00:09
Member
Themenstarter Beiträge: 13 |
#5
Alsoooooooooooo, den Editor öffnet er nicht!!
Den IE öffnet er auch nicht mehr also auch kein Onlinescann. Und der Desktop flackert auch noch brav zwischen grau und weiß hin und her heul!!! Kein großer Erfolg bis jetzt :-( Hier der neue Logfile von Hijackthis Logfile of HijackThis v1.99.1 Scan saved at 01:08:43, on 05.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\Installierte Programme\DcrServ.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\soundman.exe E:\Installierte für Filme\daemon.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\System32\rmctrl.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Gemeinsame Dateien\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe E:\Installierte Programme\DriveCrypt.exe c:\windows\system32\enaqlom.exe E:\Installierte Programme\Acrobat\Distillr\AcroTray.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE G:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SmcService] E:\INSTAL~1\Smc.exe -startgui O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Installierte Programme\Clone CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Installierte für Filme\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [NexusServer] "C:\Programme\Gemeinsame Dateien\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [fsylko] c:\windows\system32\enaqlom.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [DriveCrypt Startup] E:\Installierte Programme\DriveCrypt.exe /WS O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Acrobat Assistant.lnk = E:\Installierte Programme\Acrobat\Distillr\AcroTray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: concept/design's onlineTV - {9713E227-D150-43DA-B68C-9617AD886403} - E:\Installierte Programme\onlineTV\onlineTV.exe O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101717471598 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - E:\Installierte Programme\DcrServ.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Installierte Programme\Smc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Vielen Dank und bis später :-) Dieser Beitrag wurde am 27.05.2005 um 01:13 Uhr von DerVerzweifl editiert.
|
|
|
|
|
|
|
27.05.2005, 01:11
Ehrenmitglied
Beiträge: 29434 |
#6
na, wenn es das nicht gibt, kannst du auch nichts loeschen
 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.05.2005, 01:15
Member
Themenstarter Beiträge: 13 |
#7
Hast Du ICQ?? Ging vielleicht besser??? Kannst mir ja wenn Deine ICQ Nummer als Private Nachricht senden!!
Über Deiner Antwort steht übrigens der neue Logfile falls Du ihn übersehen hast!! Dieser Beitrag wurde am 27.05.2005 um 01:20 Uhr von DerVerzweifl editiert.
|
|
|
|
|
|
|
27.05.2005, 13:07
Ehrenmitglied
Beiträge: 29434 |
#8
Fixe mit dem HijackTHis;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [fsylko] c:\windows\system32\enaqlom.exe PC neustarten so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste Gehe in die Registry Start-->ausfuehren-->regedit nun alles von Hand mit Rechtsklick loeschen+ danach den PC neustarten HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj.1 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410} [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}] [-HKEY_CURRENT_USER\Software\Bolger [-HKEY_CURRENT_USER\Software\aurora [-HKEY_CURRENT_USER\Software\ceres [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{302A3240-4805-4a34-97D7-1645A0B08410} [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Monitors\ZepMon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon] [-HKEY_CLASSES_ROOT\mfiltis •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt oder mwav.log und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.05.2005, 00:24
Member
Themenstarter Beiträge: 13 |
#9
Hier die Daten aus der MWAV.LOD!!!!
Sun Jun 05 17:13:29 2005 => File C:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken. Sun Jun 05 17:14:15 2005 => File C:\WINDOWS\System32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken. Sun Jun 05 17:17:10 2005 => File C:\WINDOWS\System32\z11.exe infected by "Trojan-Downloader.Win32.IstBar.it" Virus! Action Taken: No Action Taken. Sun Jun 05 17:21:34 2005 => File C:\Dokumente und Einstellungen\Dirk.DIRK2-PEUKS3W1I\1.dat infected by "Trojan-Downloader.Win32.IstBar.it" Virus! Action Taken: No Action Taken. Sun Jun 05 17:27:42 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sun Jun 05 17:36:00 2005 => File C:\Programme\Microsoft AntiSpyware\Quarantine\671C4FFF-2058-49E7-A7C7-7632C6\A559A862-04FE-42D8-8008-DDE1B0 infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken. Sun Jun 05 18:04:37 2005 => File C:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken. Sun Jun 05 18:10:30 2005 => File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken. Sun Jun 05 18:15:17 2005 => File C:\WINDOWS\system32\z11.exe infected by "Trojan-Downloader.Win32.IstBar.it" Virus! Action Taken: No Action Taken. Sun Jun 05 18:28:10 2005 => Scanning Folder: E:\Installierte Programme\INFECTED\*.* Sun Jun 05 19:40:15 2005 => Scanning File F:\Sortierte Lieder\Sortierte Lieder\Barthezz-Infected.mp3 Sun Jun 05 20:13:08 2005 => File C:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken. Sun Jun 05 20:18:55 2005 => File C:\WINDOWS\system32\DrPMon.dll infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken. Sun Jun 05 20:23:41 2005 => File C:\WINDOWS\system32\z11.exe infected by "Trojan-Downloader.Win32.IstBar.it" Virus! Action Taken: No Action Taken. Und hier noch der Rest aus der LOGDATEI!!!! Sun Jun 05 20:23:53 2005 => ***** Checking for specific ITW Viruses ***** Sun Jun 05 20:23:53 2005 => Checking for Welchia Virus... Sun Jun 05 20:23:53 2005 => Checking for LovGate Virus... Sun Jun 05 20:23:53 2005 => Checking for CodeRed Virus... Sun Jun 05 20:23:53 2005 => Checking for OpaServ Virus... Sun Jun 05 20:23:53 2005 => Checking for Sobig.e Virus... Sun Jun 05 20:23:53 2005 => Checking for Winupie Virus... Sun Jun 05 20:23:53 2005 => Checking for Swen Virus... Sun Jun 05 20:23:53 2005 => Checking for JS.Fortnight Virus... Sun Jun 05 20:23:53 2005 => Checking for Novarg Virus... Sun Jun 05 20:23:53 2005 => Checking for Pagabot Virus... Sun Jun 05 20:23:53 2005 => Checking for Parite.b Virus... Sun Jun 05 20:23:53 2005 => Checking for Parite.a Virus... Sun Jun 05 20:23:53 2005 => Checking for Adware.SeekSeek Virus... Sun Jun 05 20:23:53 2005 => ***** Scanning complete. ***** Sun Jun 05 20:23:53 2005 => Total Objects Scanned: 81656 Sun Jun 05 20:23:53 2005 => Total Virus(es) Found: 41 Sun Jun 05 20:23:53 2005 => Total Disinfected Files: 0 Sun Jun 05 20:23:53 2005 => Total Files Renamed: 0 Sun Jun 05 20:23:53 2005 => Total Deleted Objects: 0 Sun Jun 05 20:23:53 2005 => Total Errors: 392 Sun Jun 05 20:23:53 2005 => Time Elapsed: 03:10:44 Sun Jun 05 20:23:54 2005 => Virus Database Date: 2005/05/27 Sun Jun 05 20:23:54 2005 => Virus Database Count: 131890 Sun Jun 05 20:23:54 2005 => Scan Completed. Von den Sachen die Du mir oben genannt hattest wie z.b. Legacy_SCVPROC hat sich so nicht löschen lassen aber es waren auch noch andere dabei die sich haben nicht löschen lassen!!! Vielen Dank und bis später!! |
|
|
|
|
|
|
28.05.2005, 01:03
Ehrenmitglied
Beiträge: 29434 |
#10
loesche mit der Killbox
C:\WINDOWS\svcproc.exe C:\WINDOWS\System32\DrPMon.dll C:\WINDOWS\System32\z11.exe öffne den Editor und kopiere rein: Zitat del c:\*.tmp"Speichern unter" -- auf dem Desktop als: clean.bat als: "alle Dateien". Doppelklick aud die "clean.bat" file . dann versuche noch einmal, aber im abgesicherten modus die Registryeintraege zu loeschen, mit hilfe der Anleitungen, die ich gebe: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.  dann mache einen Onlinescan (Panda) und berichte (wenn dein Antivirus"meckert"--> nicht beachten http://virus-protect.org/onlinescan.html + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.05.2005, 10:22
Member
Themenstarter Beiträge: 13 |
#11
Der Editor öffnet sich aber erst gar nicht wenn ich Ihn öffnen möchte!! Und nu??
loesche mit der Killbox C:\WINDOWS\svcproc.exe C:\WINDOWS\System32\DrPMon.dll C:\WINDOWS\System32\z11.exe Und diese Sachen finde ich nicht!! Gruß und DANKE!! |
|
|
|
|
|
|
28.05.2005, 14:48
Ehrenmitglied
Beiträge: 29434 |
#12
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html Fügen diese Datei oben in die Full Path of File to Delete Box (1) in dem man den u.g. Pfad dort eingibt (einfach von hier abkopieren) C:\WINDOWS\svcproc.exe C:\WINDOWS\System32\DrPMon.dll C:\WINDOWS\System32\z11.exe 5. Klicke Yes beim Delete on Reboot Prompt. 6. Klicke No beim laufenden Prozesse Prompt 7. Klicke auf den Delete File Button (sieht aus wie ein Stopzeichen (3). 8. Klicke auf Yes beim Delete on Reboot Prompt. 9. Klicke auf Yes beim laufenden Prozesse Prompt, um den Computer neu zu starten. Lasse den Computer neustarten. 10. Sollte folgende Meldung erscheinen, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!" ------------- Frage: hast du in der Registry die Dienste/Eintraege geloescht????? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.06.2005, 15:51
Member
Themenstarter Beiträge: 13 |
#13
Also..........den Editor kann ich leider immer noch nicht öffnen!!
Die Einträge in der Registry habe ich bis auf diese hier gelöscht bekommen. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] Die kann ich aber auch nicht löschen weil ich bei mir das ControlSet002 nicht habe!! Hier jetzt der neue Logfile vom Hijackthis!! Logfile of HijackThis v1.99.1 Scan saved at 15:50:58, on 14.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\Installierte Programme\DcrServ.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\soundman.exe E:\Installierte für Filme\daemon.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\System32\rmctrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe E:\Installierte Programme\DriveCrypt.exe E:\Installierte Programme\Acrobat\Distillr\AcroTray.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE c:\windows\system32\mjlwxf.exe C:\Programme\Internet Explorer\iexplore.exe G:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SmcService] E:\INSTAL~1\Smc.exe -startgui O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Installierte Programme\Clone CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Installierte für Filme\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [gxvhyw] c:\windows\system32\mjlwxf.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [DriveCrypt Startup] E:\Installierte Programme\DriveCrypt.exe /WS O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Acrobat Assistant.lnk = E:\Installierte Programme\Acrobat\Distillr\AcroTray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: concept/design's onlineTV - {9713E227-D150-43DA-B68C-9617AD886403} - E:\Installierte Programme\onlineTV\onlineTV.exe O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101717471598 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - E:\Installierte Programme\DcrServ.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Installierte Programme\Smc.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Habe aber noch was vergessen!! Das Microsoft Anti Spyware meldet direkt nach dem Booten das der Trojan.Startup.0e3df3 versucht sich zu installieren und das selbe mit Transponder.ABetter Internet Aurora is trying to install!!!! Gruß und wie immer danke!! Dieser Beitrag wurde am 05.06.2005 um 15:57 Uhr von DerVerzweifl editiert.
|
|
|
|
|
|
|
05.06.2005, 17:03
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@DerVerzweifl
scannen: Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\DIRK~1.DIR\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [gxvhyw] c:\windows\system32\mjlwxf.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html  Desinfektion von W32/Agobot Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen) http://bilder.informationsarchiv.net/Nikitas_Tools/agobtgui.com •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost Nail.exe/Software-aurora /Sahagent http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip 1. Unzip/extract the files inside to a folder on your desktop. 2. Open the folder. Double click on FindIt's.bat and wait for Notepad to open a text file. It will take a while so please be patient ... Poste bitte das Log vom Scann Damit wir das System sauber bekommen: Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 20 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit -------------- Info: C:\WINDOWS\System32\rvisdge.dll C:\WINDOWS\Nail.exe c:\windows\system32\mjlwxf.exe W32/Agobot-JS C:\WINDOWS\soundman.exe ?????????? http://www.sophos.de/virusinfo/analyses/w32agobotjs.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.06.2005, 12:36
Member
Themenstarter Beiträge: 13 |
#15
Ich finde das TOOL agobtgui.com dort aber nicht!! Bin ich blind??
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Wenn ich auf der Seite, oder wie immer man es auch nennen mag, aug Eigenschaften gehe steht bei Allgemein - Adresse : file://C:\WINDOWS\desktop.html
Wenn ich das an diesem Ort lösche ist es aber nach dem NEUSTART wieder da!!
Wie bekomme ich denn den MIST jetzt noch weg??
BITTE UM HILFE!!!!!