Bekomme Trojaner TR/StartPa.DU.DLL.1 nicht weg |
||
---|---|---|
#0
| ||
01.06.2005, 22:29
...neu hier
Beiträge: 6 |
||
|
||
02.06.2005, 17:08
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Biber.Beat
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: GDS module - {A084A565-B09B-4e4c-A497-7CC50AEAB2A7} - C:\WINDOWS\gds.dll O2 - BHO: Class - {C97FF224-83CF-9DB5-2755-29EF007941C4} - C:\WINDOWS\atlmp32.dll O4 - HKLM\..\Run: [ntlm32.exe] C:\WINDOWS\system32\ntlm32.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atloo.exe PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. Deaktivieren Wiederherstellung--> dann aktiviere sie wieder «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Deinstalliere den Antivirus+ lade ihn neu •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien •AboutBuster http://virus-protect.org/antispywaretools.html Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen. 4. Klicke auf "Start". (Warte bis der initiale ADS Scan fertig ist.) 5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. (Warte bis der about:blank Scan fertig ist.) 6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen. 7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. 8. Klicke auf "Yes", um die zweite Runde zu beginnen. 9. Klicke auf "Save log" (speichere das Logfile). 10. Klicke auf "Exit". •Ad-aware SE Personal 1.05 Updated http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen--> -------------------------------------------------------------------------- gehe wieder in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml SCanne mit den 3 Tools #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + das neue Log vom HIjacktHis+ Report vom Scan (Antivirus) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.06.2005, 22:41
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Sabina,
hab mich durch die Programme gekämpft. Hier die Ergebnisse. Hab ich ihn wegbekommen? ************** HijackThis Report **************************** Logfile of HijackThis v1.99.1 Scan saved at 22:17:29, on 18.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Henning\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:81 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: EmailImport - https://www.openbc.com/importtool/openBC.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{E83F7DB9-55C4-4127-A1F4-1DC3CACF1B1E}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe ************** Antivirus Report **************************** Erstellungsdatum der Reportdatei: Samstag, 18. Juni 2005 22:34 AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005 Hauptptogramm 6.30.00.17 vom 07.03.2005 VDF-Datei 6.31.0.63 (0) vom 15.06.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 179514 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ Email ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 1) Benutzername: Henning Computername: TRESOR Prozessor: Pentium Arbeitsspeicher: 523760 KB frei Versionsinformationen: AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVEWIN32.DLL : 6.31.0.5 823808 15.06.2005 18:19:58 AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50 AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20 GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32 AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26 AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26 AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50 AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10 AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26 AVSHLEXT.DLL : 6.30.00.01 40960 03.03.2005 17:09:36 AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32 AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32 AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18 AVRep.DLL : 6.31.00.60 1167400 15.06.2005 18:20:08 INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26 INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26 CTL3D32.DLL : 2.31.000 27136 18.08.2001 12:00:00 MFC42.DLL : 6.00.8665.0 995383 18.08.2001 12:00:00 MSVCRT.DLL : 7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL : 7.0.2600.1106 323072 29.08.2002 12:43:26 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG Startpfad: C:\Programme\AVPersonal Kommandozeile: Startmodus: Selbsttest Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [ ] Alle Dateien [X] Programmdateien Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Alle Archive-Typen Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Henning\LOKALE~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: mittel Initialisierung OK Speichertest OK Master-Bootsektor von Festplatte HD0 OK Master-Bootsektor von Festplatte HD1 OK Bootsektor von Laufwerk C: OK Systemdateien boot.ini OK bootfont.bin OK IO.SYS OK MSDOS.SYS OK NTDETECT.COM OK ntldr OK pagefile.sys OK Systemtest: OK Selbsttest: OK |
|
|
||
18.06.2005, 22:44
Ehrenmitglied
Beiträge: 29434 |
#4
nun mache bitte einen Onlinescan mit panda (wenn der Antivirus was von Virus faselt--> nicht beachten
http://virus-protect.org/onlinescan.html poste, was angezeigt wird __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.06.2005, 23:57
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo Sabina,
hier nun der Report vom Panda-Onlinescan. Incident Status Location Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Ab scissor.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Broadband comparison.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Credit counseling.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Credit report.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Crm software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Debt credit card.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Escorts.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Fha.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Health insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Help desk software.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Insurance home.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Loan for debt consolidation.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Loan for people with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Marketing email.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Mortgage insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Mortgage life insurance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Nevada corporations.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Online Betting Site.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Online gambling casino.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Online instant loan.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Order phentermine.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Payroll advance.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Personal loans online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Personal loans with bad credit.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Prescription Drugs Rx Online.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Refinancing my mortgage.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Tahoe vacation rental.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Unsecured bad credit loans.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\Videos.url Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\What is hydrocodone.url Adware:Adware/SearchAid No disinfected C:\WINDOWS\apiyu.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\atlcv32.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\javabj32.exe Adware:Adware/CWS No disinfected C:\WINDOWS\netnr32.dl$ Adware:Adware/SearchAid No disinfected C:\WINDOWS\n_ahmjsv.dat Adware:Adware/SearchAid No disinfected C:\WINDOWS\n_emzdfz.txt Adware:Adware/SearchAid No disinfected C:\WINDOWS\sdkwt.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\adddy32.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\apild32.exe Adware:Adware/Howprotect No disinfected C:\WINDOWS\system32\apiws.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\atlau32.exe Adware:Adware/CWS No disinfected C:\WINDOWS\system32\ierb.dl$ Adware:Adware/CWS No disinfected C:\WINDOWS\system32\ipys32.dl$ Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\javaqc.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\javats32.exe Adware:Adware/CWS No disinfected C:\WINDOWS\system32\mfcju.dl$ Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\msxu.exe Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\msyd.exe |
|
|
||
19.06.2005, 11:10
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Biber.Beat
Fixe mit dem HijackTHis: R3 - Default URLSearchHook is missing •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\apiyu.exe C:\WINDOWS\atlcv32.exe C:\WINDOWS\javabj32.exe C:\WINDOWS\netnr32.dl$ C:\WINDOWS\n_ahmjsv.dat C:\WINDOWS\n_emzdfz.txt C:\WINDOWS\sdkwt.exe C:\WINDOWS\system32\adddy32.exe C:\WINDOWS\system32\apild32.exe C:\WINDOWS\system32\apiws.exe C:\WINDOWS\system32\atlau32.exe C:\WINDOWS\system32\ierb.dl$ C:\WINDOWS\system32\ipys32.dl$ C:\WINDOWS\system32\javaqc.exe C:\WINDOWS\system32\javats32.exe C:\WINDOWS\system32\mfcju.dl$ C:\WINDOWS\system32\msxu.exe C:\WINDOWS\system32\msyd.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html C:\Dokumente und Einstellungen\Henning\Favoriten\Sites about\<---loeschen Deaktivieren Wiederherstellung (dann aktiviere sie wieder) «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. •CWShredder http://virus-protect.org/antispywaretools.html * Double-click on CWShredder.exe. WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! * Click "Fix ->" und click "OK" * CWShredder scannen lassen * Click "Next->" und dann "Exit". + poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.06.2005, 11:30
...neu hier
Themenstarter Beiträge: 6 |
#7
Hallo Sabina!
Done! Logfile of HijackThis v1.99.1 Scan saved at 11:27:30, on 19.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Iomega\AutoDisk\ADUserMon.exe C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Java\j2re1.4.2_05\bin\jucheck.exe C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Iomega\AutoDisk\ADService.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Henning\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: EmailImport - https://www.openbc.com/importtool/openBC.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141 O17 - HKLM\System\CCS\Services\Tcpip\..\{E83F7DB9-55C4-4127-A1F4-1DC3CACF1B1E}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141 O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe |
|
|
||
19.06.2005, 17:10
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@
Das hast du gut gemacht Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 50 Tage raus einzeln reinkopieren: (dann alles abkpieren, was im Editor erscheint) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit •Ad-aware SE Personal http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.06.2005, 23:57
...neu hier
Themenstarter Beiträge: 6 |
#9
???? Da hast du mich jetzt verloren!
Ich frage per Eingabeauforderung die Dateilisten ab - verstanden. Aber wohin soll ichdie "alten" Einträge kopieren? Und welche Auswirkung hat das direkt auf das System? Es wird doch nichts gelöscht. Biber.Beat |
|
|
||
20.06.2005, 09:03
Ehrenmitglied
Beiträge: 29434 |
#10
du kopierst in die Konsole:
cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit dann oeffnet sich der Editor und was dort erscheint--> die Eintraege der letzten 40 Tage--> hier ind Forum kopieren...usw... so kann ich mich als "Virenscanner" betaetigen und die malware rausfiltern , die dann mit der Killbox geloescht wird hier hast du mal ein Beispiel, wie ich das mache : (hab hier den W32/Gaobot.gen.worm am Wickel bekommen, den der Antivirus beim Scan im abgesicherten Modus nicht erkannt hatte....) http://www.informationsarchiv.net/foren/beitrag-21130.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.06.2005, 20:59
...neu hier
Themenstarter Beiträge: 6 |
#11
Hallo Sabina!
Verstanden. Auf gehts: ***************** Logfile Ad-aware 2. Scan *************** Ad-Aware SE Build 1.06r1 Logfile Created on:Montag, 20. Juni 2005 20:40:11 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R50 13.06.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» IntexusDial(TAC index:5):1 total references MRU List(TAC index:0):29 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 20.06.2005 20:40:11 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Henning\recent Description : list of recently opened documents MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\adobe\adobe acrobat\5.0\avgeneral\crecentfiles Description : list of recently used files in adobe acrobat MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\ahead\cover designer\recent file list Description : list of recently used files in ahead cover designer MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\ahead\nero - burning rom\recent file list Description : list of recently used files in nero burning rom MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\mediaplayer\preferences Description : last cd record path used in microsoft windows media player MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\ntbackup\log files Description : list of recent logfiles in microsoft backup MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\office\10.0\common\general Description : list of recently used symbols in microsoft office MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\office\10.0\powerpoint\recent typeface list Description : list of recently used typefaces in microsoft powerpoint MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\office\10.0\powerpoint\recentfolderlist Description : list of recent folders used by microsoft powerpoint MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\nvidia corporation\global\nview\windowmanagement Description : nvidia nview cached application window positions MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent skins in realplayer MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent clips in realplayer MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\realnetworks\realplayer\6.0\preferences Description : last login time in realplayer MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-1801674531-1390067357-682003330-1003\software\microsoft\windows media\wmsdk\general Description : windows media sdk Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 572 ThreadCreationTime : 20.06.2005 18:38:46 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 636 ThreadCreationTime : 20.06.2005 18:38:48 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 660 ThreadCreationTime : 20.06.2005 18:38:49 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 704 ThreadCreationTime : 20.06.2005 18:38:50 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 716 ThreadCreationTime : 20.06.2005 18:38:50 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 884 ThreadCreationTime : 20.06.2005 18:38:50 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 932 ThreadCreationTime : 20.06.2005 18:38:50 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1044 ThreadCreationTime : 20.06.2005 18:38:51 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1088 ThreadCreationTime : 20.06.2005 18:38:51 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [wbload.exe] FilePath : C:\Programme\Stardock\Object Desktop\WindowBlinds\ ProcessID : 1324 ThreadCreationTime : 20.06.2005 18:38:52 BasePriority : Normal FileVersion : 4.2 ProductVersion : 4.2 ProductName : WindowBlinds - http://www.windowblinds.net CompanyName : Stardock Systems, Inc FileDescription : WindowBlinds InternalName : WindowBlinds LegalCopyright : Copyright © 1997-2003 Neil Banfield, © 1998-2003 Stardock.Net, Inc OriginalFilename : WindowBlinds Comments : This is the WindowBlinds launcher app. Please do not delete this file. If you want to uninstall WindowBlinds, then use the uninstaller! #:11 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1352 ThreadCreationTime : 20.06.2005 18:38:52 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:12 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1540 ThreadCreationTime : 20.06.2005 18:38:56 BasePriority : Normal FileVersion : 6.00.2800.1106 (xpsp1.020828-1920) ProductVersion : 6.00.2800.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:13 [adusermon.exe] FilePath : C:\Programme\Iomega\AutoDisk\ ProcessID : 1740 ThreadCreationTime : 20.06.2005 18:38:58 BasePriority : Normal FileVersion : 3, 2, 1, 5 ProductVersion : 3, 2, 1, 5 ProductName : Iomega Active Disk CompanyName : Iomega Corporation FileDescription : Active Disk User Monitor InternalName : ADUserMon LegalCopyright : Copyright © 2002 OriginalFilename : ADUserMon.exe #:14 [imgicon.exe] FilePath : C:\Programme\Iomega\DriveIcons\ ProcessID : 1748 ThreadCreationTime : 20.06.2005 18:38:58 BasePriority : Normal #:15 [awatch.exe] FilePath : C:\Programme\FRITZ!DSL\ ProcessID : 1764 ThreadCreationTime : 20.06.2005 18:38:58 BasePriority : Normal FileVersion : 3.04.04 ProductVersion : 3.04.04 ProductName : ADSLWatch CompanyName : AVM Berlin FileDescription : ADSLWatch InternalName : ADSLWatch LegalCopyright : Copyright © AVM Berlin 2000-2003 OriginalFilename : AWatch.EXE #:16 [lcdctrl.exe] FilePath : C:\Programme\EIZO\ScreenManager Pro for LCD\ ProcessID : 1812 ThreadCreationTime : 20.06.2005 18:38:58 BasePriority : Normal FileVersion : 1.13 ProductVersion : 1.13 ProductName : EIZO LCD Utility CompanyName : EIZO NANAO CORPORATION FileDescription : ScreenManager Pro for LCD InternalName : Lcdctrl LegalCopyright : Copyright (C) 2002-2003 EIZO NANAO CORPORATION, All rights resered. OriginalFilename : Lcdctrl.exe #:17 [zlclient.exe] FilePath : C:\Programme\Zone Labs\ZoneAlarm\ ProcessID : 1824 ThreadCreationTime : 20.06.2005 18:38:58 BasePriority : Normal FileVersion : 5.1.025.000 ProductVersion : 5.1.025.000 ProductName : Zone Labs Client CompanyName : Zone Labs Inc. FileDescription : Zone Labs Client InternalName : zlclient LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : zlclient.exe #:18 [jusched.exe] FilePath : C:\Programme\Java\j2re1.4.2_05\bin\ ProcessID : 1832 ThreadCreationTime : 20.06.2005 18:38:58 BasePriority : Normal #:19 [realsched.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 1840 ThreadCreationTime : 20.06.2005 18:38:58 BasePriority : Normal FileVersion : 0.1.0.1622 ProductVersion : 0.1.0.1622 ProductName : RealOne Player (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2002 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:20 [avgnt.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1856 ThreadCreationTime : 20.06.2005 18:38:59 BasePriority : Normal #:21 [rundll32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1888 ThreadCreationTime : 20.06.2005 18:38:59 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Eine DLL-Datei als Anwendung ausführen InternalName : rundll LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : RUNDLL.EXE #:22 [alg.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1904 ThreadCreationTime : 20.06.2005 18:38:59 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Application Layer Gateway Service InternalName : ALG.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : ALG.exe #:23 [acrotray.exe] FilePath : C:\Programme\Adobe\Acrobat 5.0\Distillr\ ProcessID : 1916 ThreadCreationTime : 20.06.2005 18:38:59 BasePriority : Normal FileVersion : 5, 0, 0, 0 ProductVersion : 5, 0, 0, 0 ProductName : AcroTray - Adobe Acrobat Distiller helper application. CompanyName : Adobe Systems Inc. FileDescription : AcroTray InternalName : AcroTray LegalCopyright : Copyright © 2001 OriginalFilename : AcroTray.exe #:24 [dmx6fire.exe] FilePath : C:\Programme\TerraTec\DMX 6fire\ ProcessID : 1944 ThreadCreationTime : 20.06.2005 18:38:59 BasePriority : Normal FileVersion : 5, 40, 3, 130 ProductVersion : 5, 40, 0, 0 ProductName : TTP7Cpl Application CompanyName : TerraTec Electronic GmbH FileDescription : DMX 6fire 24/96 ControlPanel InternalName : DMX 6fire 24/96 ControlPanel LegalCopyright : Copyright © 2001 - 2003 TerraTec Electronic GmbH LegalTrademarks : -- OriginalFilename : TTP7Cpl.EXE Comments : -- #:25 [avguard.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1956 ThreadCreationTime : 20.06.2005 18:38:59 BasePriority : Normal #:26 [objectdock.exe] FilePath : C:\Programme\Stardock\ObjectDock\ ProcessID : 1984 ThreadCreationTime : 20.06.2005 18:38:59 BasePriority : Normal FileVersion : v1.11.517u ProductVersion : v1.11.517u ProductName : Stardock ObjectDock CompanyName : Stardock FileDescription : ObjectDock InternalName : ObjectDock LegalCopyright : Copyright © 1999-2005 Jeff Bargmann, ©2002-2005 Stardock OriginalFilename : ObjectDock.exe #:27 [avwupsrv.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 2012 ThreadCreationTime : 20.06.2005 18:39:00 BasePriority : Normal #:28 [appservices.exe] FilePath : C:\PROGRA~1\Iomega\System32\ ProcessID : 2040 ThreadCreationTime : 20.06.2005 18:39:00 BasePriority : Normal FileVersion : 2, 0, 2, 5 ProductVersion : 2, 0, 2, 5 ProductName : Iomega App Services CompanyName : Iomega Corporation FileDescription : AppServices InternalName : AppServices LegalCopyright : Copyright © 2000 OriginalFilename : AppService.exe Comments : Iomega App Services For Windows 2000/NT #:29 [nvsvc32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 220 ThreadCreationTime : 20.06.2005 18:39:01 BasePriority : Normal FileVersion : 6.14.10.5303 ProductVersion : 6.14.10.5303 ProductName : NVIDIA Driver Helper Service, Version 53.03 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 53.03 InternalName : NVSVC LegalCopyright : (C) NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:30 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 280 ThreadCreationTime : 20.06.2005 18:39:01 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:31 [vsmon.exe] FilePath : C:\WINDOWS\system32\ZoneLabs\ ProcessID : 320 ThreadCreationTime : 20.06.2005 18:39:01 BasePriority : Normal FileVersion : 5.1.025.000 ProductVersion : 5.1.025.000 ProductName : TrueVector Service CompanyName : Zone Labs Inc. FileDescription : TrueVector Service InternalName : vsmon LegalCopyright : Copyright © 1998-2004, Zone Labs Inc. OriginalFilename : vsmon.exe #:32 [adservice.exe] FilePath : C:\Programme\Iomega\AutoDisk\ ProcessID : 612 ThreadCreationTime : 20.06.2005 18:39:04 BasePriority : Normal FileVersion : 3, 2, 1, 5 ProductVersion : 3, 2, 1, 5 ProductName : Iomega Active Disk CompanyName : Iomega Corporation FileDescription : Active Disk Service InternalName : ADService LegalCopyright : Copyright © 2002 OriginalFilename : ADService.exe #:33 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 2376 ThreadCreationTime : 20.06.2005 18:39:39 BasePriority : Normal FileVersion : 6.2.0.236 ProductVersion : SE 106 ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft AB Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 29 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 29 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 29 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 29 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» IntexusDial Object Recognized! Type : File Data : A0000254.exe TAC Rating : 5 Category : Malware Comment : Object : C:\System Volume Information\_restore{99D270DE-6AEE-4A6E-ADE8-8F0C43DE3D5A}\RP2\ FileVersion : 1.2 ProductVersion : 1.2 ProductName : IntexusDial CompanyName : intexus GmbH FileDescription : IntexusDial InternalName : IntexusDial LegalCopyright : Copyright © 2003 Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 30 Deep scanning and examining files (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 30 Deep scanning and examining files (E »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for E:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 30 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 30 20:50:25 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:10:14.172 Objects scanned:126766 Objects identified:1 Objects ignored:0 New critical objects:1 *********************** sys.txt ********************** 20.06.2005 20:24 0 sys.txt 20.06.2005 20:23 7.179 system.txt 20.06.2005 20:23 294 systemtemp.txt 20.06.2005 20:23 104.526 system32.txt 20.06.2005 20:13 536.399.872 hiberfil.sys 20.06.2005 20:13 805.306.368 pagefile.sys 02.06.2005 19:19 26.142 EyeCandyLog.txt 22.04.2005 22:28 822.874 divx.log 22.04.2005 22:28 708 DivXEncSettings.txt *********************** system32.txt ********************** 19.06.2005 10:29 1.806 TRJ_NTAUTO.TMP 18.06.2005 10:28 2.262 wpa.dbl 15.06.2005 05:23 0 hnmyj.txt 13.06.2005 04:45 0 nblsl.dat 07.06.2005 08:42 0 weiji.dll 05.06.2005 13:24 380.486 perfh009.dat 05.06.2005 13:24 52.900 perfc009.dat 05.06.2005 13:24 391.330 perfh007.dat 05.06.2005 13:24 63.778 perfc007.dat 05.06.2005 13:24 896.432 PerfStringBackup.INI 05.06.2005 03:50 0 booia.txt 04.06.2005 21:00 0 dptnv.dat 03.06.2005 04:20 0 pbbgd.dat 02.06.2005 19:17 0 mprbw.txt 02.06.2005 19:17 0 qkgrv.dll 01.06.2005 21:51 2.158 ssmute.ini 31.05.2005 09:05 0 tjorv.log 31.05.2005 03:04 0 xyunk.txt 30.05.2005 15:40 0 ecrcr.log 30.05.2005 14:02 11.736 egwme.log 30.05.2005 11:30 3.567 emzht.txt 30.05.2005 05:41 3.567 katdx.log 26.05.2005 18:05 0 edfjo.txt 26.05.2005 02:52 0 nxiad.dat 25.05.2005 09:34 0 xyltz.log 24.05.2005 17:19 0 szedy.dat 24.05.2005 00:22 0 winee.exe 23.05.2005 19:17 0 crau.exe 23.05.2005 19:17 0 winna32.exe 20.05.2005 08:26 0 mzgqn.dat 19.05.2005 15:08 0 xarbb.dat 17.05.2005 17:14 0 sdkie.exe 17.05.2005 13:50 0 gydlm.dat 17.05.2005 04:43 0 uigwb.dll 16.05.2005 15:25 0 azxgg.txt 15.05.2005 00:27 0 ipeo32.dll 14.05.2005 00:43 0 djplg.dll 13.05.2005 11:10 0 odvao.txt 08.05.2005 12:57 0 dcyyw.txt 07.05.2005 14:37 4.866 halkf.log 06.05.2005 13:46 0 gsfna.log 06.05.2005 13:24 0 iecr32.exe 06.05.2005 13:24 0 atlwx.exe 22.04.2005 22:39 952 KGyGaAvL.sys 22.04.2005 20:08 2.998 config.nt 22.04.2005 20:08 3.000 config.hsp 22.04.2005 18:00 383 haspdos.sys 22.04.2005 18:00 6.656 haspvdd.dll 03.03.2005 00:04 140.440 FNTCACHE.DAT 22.01.2005 05:26 186 CodeBaseLog.txt *********************** system.txt ********************** 20.06.2005 20:21 915 win.ini 20.06.2005 20:13 0 0.log 20.06.2005 20:13 159 wiadebug.log 20.06.2005 20:13 50 wiaservc.log 20.06.2005 20:13 2.048 bootstat.dat 20.06.2005 00:21 32.540 SchedLgU.Txt 19.06.2005 15:29 199 wb.ini 19.06.2005 11:36 32 pavsig.txt 18.06.2005 22:54 1.301.571 setupapi.log 18.06.2005 22:34 2.202.830 ntbtlog.txt 14.06.2005 09:46 11.736 btwwx.log 10.06.2005 07:53 0 afphu.dll 05.06.2005 13:24 30.241 comsetup.log 05.06.2005 13:24 145.612 iis6.log 05.06.2005 13:24 32.066 tsoc.log 05.06.2005 13:24 4.507 imsins.log 05.06.2005 13:24 905 tabletoc.log 05.06.2005 13:24 3.966 ocmsn.log 05.06.2005 13:24 48.754 ocgen.log 05.06.2005 13:24 3.121 msgsocm.log 05.06.2005 13:24 31.912 msmqinst.log 05.06.2005 13:23 0 setuperr.log 03.06.2005 02:16 45.942 FaxSetup.log 02.06.2005 16:30 0 zwrhx.dll 02.06.2005 10:40 0 stkod.log 02.06.2005 10:34 63 TDF.DII 01.06.2005 20:27 0 nylgk.dat 01.06.2005 20:27 1.440 COM+.log 01.06.2005 17:37 0 d3oe.dll 31.05.2005 17:25 0 aunlp.dll 31.05.2005 03:04 50 Winamp.ini 30.05.2005 15:40 259 system.ini 30.05.2005 14:05 0 bcpxd.dll 30.05.2005 12:20 9.237 mlhcr.txt 30.05.2005 05:41 4.866 rhaxd.txt 29.05.2005 16:00 0 cutxc.dll 29.05.2005 10:51 21.318 Active Setup Log.txt 29.05.2005 10:14 3.932.214 ACD Wallpaper.bmp 27.05.2005 22:21 0 aqlam.dll 27.05.2005 20:25 3.567 hirkd.txt 26.05.2005 13:35 11.736 qluqa.txt 26.05.2005 08:24 7.883 Eng_UK.gpl 26.05.2005 08:24 2 desktop.ini 26.05.2005 06:44 9.237 nofrv.txt 26.05.2005 06:22 3.567 rlfxo.log 25.05.2005 18:33 34.818 wmprfDEU.prx 24.05.2005 22:42 194.673 wmsetup.log 24.05.2005 19:52 4.870 bnxax.txt 24.05.2005 07:30 786.439 setuplog.txt 24.05.2005 07:30 180.331 setupact.log 23.05.2005 18:30 0 qdzqk.dll 23.05.2005 18:24 0 upznu.txt 23.05.2005 13:49 0 mbywx.dat 23.05.2005 13:49 55 JungleWaterfall1.0u.ini 23.05.2005 13:49 0 PROTOCOL.INI 23.05.2005 05:02 96 HTWT7771.bin 22.05.2005 16:19 5.932 xpsp1hfm.log 22.05.2005 03:56 3.567 abdqh.log 21.05.2005 03:05 0 ytqau.txt 20.05.2005 18:58 400 ODBC.INI 20.05.2005 18:58 178 nsw.log 20.05.2005 02:07 0 rdshy.txt 20.05.2005 01:19 112 ActiveSkin.INI 20.05.2005 01:19 3.932.214 ACD Hintergrund.bmp 19.05.2005 12:57 81.046 DirectX.log 18.05.2005 05:07 0 d3ct.exe 18.05.2005 00:33 1.348 regopt.log 17.05.2005 15:18 0 iynbe.txt 17.05.2005 15:18 1.405 msdfmap.ini 17.05.2005 09:15 0 wined.exe 17.05.2005 06:39 492.544 fpuninst.exe 17.05.2005 02:08 4.870 whgrh.log 16.05.2005 20:18 707 _default.pif 16.05.2005 05:14 4.870 fpqsp.log 15.05.2005 11:56 3.567 qrtkm.log 12.05.2005 23:26 0 zeybp.dll 12.05.2005 06:58 912 WISO.INI 10.05.2005 20:15 0 fxtff.log 10.05.2005 03:25 19.398 ntdtcsetup.log 10.05.2005 03:25 4.327 netfxocm.log 07.05.2005 19:58 6.550 jautoexp.dat 07.05.2005 19:58 39.095 iccsigs.dat 05.05.2005 02:46 128 DtcInstall.log 04.05.2005 15:32 0 winbe.exe 03.05.2005 23:07 4.866 qfdof.txt 22.04.2005 23:45 0 vfsbq.txt 22.04.2005 20:05 316.640 WMSysPr9.prx 18.03.2005 20:49 3.038 tm.ini 30.01.2005 19:22 16.684 Windows Update.log 22.01.2005 06:03 738 XMLEditor3.INI *********************** systemtemp.txt ********************** 20.06.2005 20:13 1.839 jusched.log So, nun bin ich gespannt ;-) Übrigens hat AV-Antivir bei beiden Durchgängen von Ad-Aware Trojaner gefunden und gelöscht. M.e. waren die in den Systemwiederherstellungen versteckt. Biber.Beat |
|
|
||
21.06.2005, 00:33
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@Biber.Beat
loeschen: C:\WINDOWS\SYSTEM32\TRJ_NTAUTO.TMP C:\WINDOWS\SYSTEM32\nblsl.dat C:\WINDOWS\SYSTEM32\weiji.dll C:\WINDOWS\SYSTEM32\dptnv.dat C:\WINDOWS\SYSTEM32\pbbgd.dat C:\WINDOWS\SYSTEM32\mprbw.txt C:\WINDOWS\SYSTEM32\qkgrv.dll C:\WINDOWS\system32\mskdll.dll C:\windows\system32\brew.dll C:\windows\system32\rch.dll C:\windows\system32\rdrlib.dll C:\windows\system32\ssmute.ini C:\windows\system32\wpa.dbl C:\WINDOWS\SYSTEM32\nxiad.dat C:\WINDOWS\SYSTEM32\xyltz.log C:\WINDOWS\SYSTEM32\szedy.dat C:\WINDOWS\SYSTEM32\winee.exe C:\WINDOWS\SYSTEM32\crau.exe C:\WINDOWS\SYSTEM32\winna32.exe C:\WINDOWS\SYSTEM32\mzgqn.dat C:\WINDOWS\SYSTEM32\xarbb.dat C:\WINDOWS\SYSTEM32\sdkie.exe C:\WINDOWS\SYSTEM32\gydlm.dat C:\WINDOWS\SYSTEM32\uigwb.dll C:\WINDOWS\SYSTEM32\azxgg.txt C:\WINDOWS\SYSTEM32\ipeo32.dll C:\WINDOWS\SYSTEM32\djplg.dll C:\WINDOWS\SYSTEM32\odvao.txt C:\WINDOWS\SYSTEM32\dcyyw.txt C:\WINDOWS\SYSTEM32\halkf.log C:\WINDOWS\SYSTEM32\gsfna.log C:\WINDOWS\SYSTEM32\iecr32.exe C:\WINDOWS\SYSTEM32\atlwx.exe C:\WINDOWS\afphu.dll C:\WINDOWS\zwrhx.dll C:\WINDOWS\nylgk.dat C:\WINDOWS\d3oe.dll C:\WINDOWS\aunlp.dll C:\WINDOWS\bcpxd.dll C:\WINDOWS\cutxc.dll C:\WINDOWS\aqlam.dll C:\WINDOWS\qdzqk.dll C:\WINDOWS\mbywx.dat C:\WINDOWS\winbe.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
habe mich in diesem Forum umfangreich umgesehen. Bekomme den Trojaner aber einfach nicht weg. Hier das HijackThis-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 22:22:28, on 01.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ntlm32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\atloo.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Opera 8 Beta\Opera.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\DOKUME~1\Henning\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: GDS module - {A084A565-B09B-4e4c-A497-7CC50AEAB2A7} - C:\WINDOWS\gds.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {C97FF224-83CF-9DB5-2755-29EF007941C4} - C:\WINDOWS\atlmp32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ntlm32.exe] C:\WINDOWS\system32\ntlm32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3871132F-20FD-4784-B70A-D08A30962487} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: EmailImport - https://www.openbc.com/importtool/openBC.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83F7DB9-55C4-4127-A1F4-1DC3CACF1B1E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{7050614B-B054-44AB-B623-1DD769948B12}: NameServer = 217.237.150.225 217.237.150.141
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atloo.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe
Das ist mein erster! Virus. Würde mich über Hilfe riesig freuen.
Henning