TR/StartPa.DU.DLL.1 + TR/Dldr.Agent.BQ |
||
---|---|---|
#0
| ||
31.05.2005, 16:01
Ehrenmitglied
Beiträge: 29434 |
||
|
||
31.05.2005, 16:06
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#2
Hallo@humer
Start-->Ausfuehren--> regedit loesche mit rechtsklick: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ofkbe.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ofkbe.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ofkbe.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\ofkbe.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ofkbe.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ofkbe.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\ofkbe.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - Default URLSearchHook is missing O2 - BHO: Class - {CA267910-E0AA-6BCC-E2FD-35D036BE1F54} - C:\WINNT\mfccf32.dll O4 - HKLM\..\Run: [sysyz.exe] C:\WINNT\system32\sysyz.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\sysat.exe (file missing) O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Unknown owner - C:\WINNT\system32\usrbridg.exe (file missing) PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINNT\crgw.exe C:\WINNT\sysat.exe C:\WINNT\ofkbe.dll C:\WINNT\mfccf32.dll PC neustarten CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + das neue Log vom HIjacktHis+ Report vom Scan (Antivirus) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.06.2005, 01:03
...neu hier
Beiträge: 2 |
#3
Hallo, danke für die schnelle Antwort!!
Leider konnte ich die folgenden Regedit_Dateien nicht löschen, da diese nicht mehr vorhanden waren HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I Hier die neuen log-files Logfile of HijackThis v1.99.1 Scan saved at 01:00:18, on 01.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\CTSvcCDA.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINNT\system32\sysyz.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\WINNT\crrs.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: Class - {F4B4E672-4DA9-6CB9-6771-D4CE652C89AB} - C:\WINNT\system32\crjv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT" O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [sysyz.exe] C:\WINNT\system32\sysyz.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\crrs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Unknown owner - C:\WINNT\system32\usrbridg.exe (file missing) Erstellungsdatum der Reportdatei: Dienstag, 31. Mai 2005 23:48 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005 Hauptptogramm 6.30.00.17 vom 07.03.2005 VDF-Datei 6.30.0.217 (0) vom 31.05.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 173612 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.0 Build 2195 (Service Pack 4) Benutzername: Administrator Computername: SEBASTIAN Prozessor: Pentium Arbeitsspeicher: 130544 KB frei Versionsinformationen: AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVEWIN32.DLL : 6.30.0.15 823808 29.05.2005 16:38:56 AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50 AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20 GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32 AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26 AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26 AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50 AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10 AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12 AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32 AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32 AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18 AVRep.DLL : 6.30.00.215 1138728 31.05.2005 16:32:52 INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26 INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26 CTL3D32.DLL : 2.31.000 27136 10.12.1999 12:00:00 MFC42.DLL : 6.00.9586.0 1015859 19.06.2003 20:05:04 MSVCRT.DLL : 6.10.9844.0 286773 19.06.2003 20:05:04 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [X] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [ ] Reparieren mit Rückfrage [X] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [ ] Löschen mit Rückfrage [X] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Laufwerke: A: Diskettenlaufwerk C: Festplatte D: Festplatte E: Festplatte F: Festplatte G: CDRom H: CDRom Start des Suchlaufs: Dienstag, 31. Mai 2005 23:48 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk D: OK Bootsektor von Laufwerk E: OK Bootsektor von Laufwerk F: OK C:\ PAGEFILE.SYS Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINNT ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! ; Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0002 WARNUNG! Zugriffsfehler/Datei gesperrt! ? Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! gxwunw.log [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ijffnf.txt [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! zniund.dat [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! bevesp.log [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! txyjbm.log [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! hnthzx.txt [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! apmlgl.dat [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! iczwgi.txt [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! netaq.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! zevxuc.txt [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ccjscb.txt [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! fdojqo.dat [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\WINNT\system32 msxt32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! syszf32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! ntmb32.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! applb.exe [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\WINNT\system32\config software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM.ALT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! DEFAULT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Administrator NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Programme\AVPersonal\INFECTED crhl32.VIR [FUND!] Ist das Trojanische Pferd TR/Agent.BI WURDE GELÖSCHT! C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Recycled\NPROTECT 00003127.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003128.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003131.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003141.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003166.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003247.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003248.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003254.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003286.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003294.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003374.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003375.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! 00003391.DLL [FUND!] Ist das Trojanische Pferd TR/StartPa.DU.DLL.1 WURDE GELÖSCHT! E:\Downloads\Moorhuhn\Moorhuhn1\gepackt Moorhuhnjagd selbstenpackend.exe ArchiveType: ZIP SFX (self extracting) --> Moorhuhn.exe Die Datei enthält Signatur des Spielprogrammes Game/Moorhuhn und wurde vom Benutzer unterdrückt. E:\ohne Sicherung\Jokes\Animation Marriage.exe Die Datei enthält Signatur des Scherzprogrammes Joke/Hochzeit und wurde vom Benutzer unterdrückt. Langewei.exe Die Datei enthält Signatur des Scherzprogrammes Joke/Brod.A und wurde vom Benutzer unterdrückt. U-Bahn.doc Die Datei enthält Signatur des Scherzprogrammes Joke/RideRoof und wurde vom Benutzer unterdrückt. E:\Istallations CD\Für Windows 2000\Norton Internet Security 2003 Pro (08.03.2003) NISPRO2003_602_ESD_GE.exe ArchiveType: ZIP SFX (self extracting) --> NIS\MSSHLIB\SETUP.INI HINWEIS! Die komprimierten Daten sind fehlerhaft Ende des Suchlaufs: Mittwoch, 1. Juni 2005 00:47 Benötigte Zeit: 59:07 min 3272 Verzeichnisse wurden durchsucht 154680 Dateien wurden geprüft 20 Warnungen wurden ausgegeben 30 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 30 Viren bzw. unerwünschte Programme wurden gefunden |
|
|
||
01.06.2005, 11:27
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#4
Hallo@humer
Meldung (Symantec)-- warnmeldung:bösartiges skript entdeckt --> ignorieren •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: 11Fßä#·ºÄÖ`I Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) --------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.06.2005, 11:29
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#5
Hallo@humer
loeschen: C:\WINNT\crrs.exe C:\WINNT\system32\crjv.dll C:\WINNT\system32\sysyz.exe #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\sdrvy.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: Class - {F4B4E672-4DA9-6CB9-6771-D4CE652C89AB} - C:\WINNT\system32\crjv.dll O4 - HKLM\..\Run: [sysyz.exe] C:\WINNT\system32\sysyz.exe O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\crrs.exe PC neustarten scanne bitte noch einmal mit Antivirus, unbedingt im abgesicherten Modus (vorher updaten, bitte)+ berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.06.2005, 19:12
...neu hier
Beiträge: 2 |
#6
Hallo! Hier das Ergebnis von regsrch.vbs
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "11Fßä#·ºÄÖ`I" 01.06.2005 19:11:31 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security] Hallo! Hier das Ergebnis von HijackThis Logfile of HijackThis v1.99.1 Scan saved at 19:34:36, on 01.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\CTSvcCDA.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT" O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\crrs.exe (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Unknown owner - C:\WINNT\system32\usrbridg.exe (file missing) Dieser Beitrag wurde am 01.06.2005 um 19:39 Uhr von humer editiert.
|
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit