TR/StartPa.DU.DLL.1 und vielleicht mehr. |
||
---|---|---|
#0
| ||
01.12.2005, 22:50
...neu hier
Beiträge: 3 |
||
|
||
02.12.2005, 12:10
Ehrenmitglied
Beiträge: 29434 |
#17
Nazrizim
Start -> Ausfuehren --> schreib rein: notepad -- klicke OK. oder , falls das kommando nicht stimmt, oeffne den Editor.... Dann kopiere folgenden Text rein: Zitat sc stop Network Security ServiceAuf dem Desktop abspeichern als "delete.bat" --> Gebe bei Dateityp 'Alle Dateien' an--> Doppeltklicken ------------------------------------------------------------------------------- Deaktivieren Wiederherstellung -- nach der Reinigung wieder aktivieren XP Arbeitsplatz--rechtsklick, dann auf Eigenschaften---Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. öffne das HijackThis-- Button "scan" -- Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - Default URLSearchHook is missing O2 - BHO: Class - {BE39619D-2F5C-5C5D-24AA-44CE33AF3E2B} - C:\WINDOWS\system32\javame.dll O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [C.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\C.tmp.exe O4 - HKLM\..\Run: [D.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe O4 - HKLM\..\Run: [10.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe O4 - HKLM\..\Run: [D.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe O4 - HKLM\..\Run: [10.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Programme\SpyFighter\SpyFighter.exe" monitor O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Programme\SpyFighter\AutoUpdate.exe" silent O4 - HKLM\..\Run: [javaza.exe] C:\WINDOWS\system32\javaza.exe O4 - HKLM\..\Run: [addkp32.exe] C:\WINDOWS\addkp32.exe O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winyr32.exe PC neustarten KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\javame.dll C:\WINDOWS\system32\javaza.exe C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe C:\WINDOWS\winyr32.exe C:\WINDOWS\addkp32.exe PC neustarten wende CleanUp an http://virus-protect.org/cleanup.html aboutbuster http://www.spychecker.com/program/aboutbuster.html Alle Dateien in einen Ordner entpacken die Readme Datei lesen starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet) 4. Klicke auf "Start". (Warte bis der initiale ADS Scan fertig ist.) 5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. (Warte bis der about:blank Scan fertig ist.) 6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen. 7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird. 8. Klicke auf "Yes", um die zweite Runde zu beginnen. 9. Klicke auf "Save log" (speichere das Logfile). 10. Klicke auf "Exit --> kopiere dann hier den scanbericht suche das Tool und scanne--> am besten auch im abgesicherten Modus --> kopiere dann hier den scanbericht * sphjfix107.zip (30.71 KB - runtergeladen 42 Mal.) http://www.hwe-forum.de/index.php/topic,4847.msg75029.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html scanne und poste den scanbericht http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.12.2005, 16:26
...neu hier
Beiträge: 3 |
#18
Hallo Sabina danke aber es gibt da ein problem mit KillBox....wenn ich den pfa´d angebe und auf das x drücke passiert nix....:(
und noch ein problem der trojaner hat sich schon wieder wo anders verschanzt |
|
|
||
02.12.2005, 23:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
03.12.2005, 14:17
...neu hier
Beiträge: 3 |
#20
Zitat Sabina posteteIch verstehe das nicht..ichhab das programm geloadet und entpackt sowie die datei gelesen was soll ich jetzt machen???das programm durchlaufen lassen?? oder was???und ich hab noch mehr probleme eben kam die meldung das die signatur von einem virus entdeckt wurde...blöderweise hab ich vergessen den namen zu kopieren.... edit: das hat antivir grade entdeckt: C:\WINDOWS\TEMP\ADWARE\INSTAFINDERK_INST.EXE Enthält Signatur des Droppers DR/ToolBar.404Search.H Dieser Beitrag wurde am 03.12.2005 um 14:31 Uhr von Nazrizim editiert.
|
|
|
||
03.12.2005, 17:37
Ehrenmitglied
Beiträge: 29434 |
#21
Nazrizim
nimm es mir nicht uebel, aber ich werde nicht mehr weiter Tips zur Reinigung geben, denn es ist zu kompliziert....fuer dich....... Wenn du mich schon fragst, was du weiter mit AboutBuster machen sollst (nach dem Laden), obwohl ich genaustens alle Anweisungen gegeben habe...wie wirst du mit all den anderen Dingen fertig, die da noch kommen, um alles sauber zu haben. Die temporaeren Dateien sollten auch schon laengst geloescht sein.... Formatiere. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
bin neu hier und bringe frischeprobleme ins forum*g*
also ich habe ein problem ich war für 2wochen weg und irgend jemand hat an meinem pc rumgefummelt -.- seit dem ist da alles mögliche drauf zB. wenn ich den i-net browser aufmache kommt diese meldung von Antivir :
C:\WINDOWS\MKSMR.DLL
Ist das Trojanische Pferd TR/StartPa.DU.DLL.1
und da der pc erheblich langsamer läuft ist wahrscheinlich auch noch ei virus drauf ;(
was soll ich jetzt tun?bin am verzweifeln....HILFE!
MfG
Nazrizim
/edit:
Hier mal der logfile von Hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:00:56, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
C:\Programme\SpyFighter\SpyFighter.exe
C:\Programme\SpyFighter\AutoUpdate.exe
C:\Programme\a-squared\a2guard.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\winyr32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\addkp32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Chef\Desktop\HijackThis.exe
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {BE39619D-2F5C-5C5D-24AA-44CE33AF3E2B} - C:\WINDOWS\system32\javame.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [C.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [D.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [10.tmp] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe
O4 - HKLM\..\Run: [D.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [10.tmp.exe] C:\DOKUME~1\G-Style\LOKALE~1\Temp\10.tmp.exe
O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Programme\SpyFighter\SpyFighter.exe" monitor
O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Programme\SpyFighter\AutoUpdate.exe" silent
O4 - HKLM\..\Run: [javaza.exe] C:\WINDOWS\system32\javaza.exe
O4 - HKLM\..\Run: [addkp32.exe] C:\WINDOWS\addkp32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winyr32.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe