Home » Spyware & Browser Hijacker Support Forum » Win32.Nsag.a + "www.oneklicksearch.com" » Themenansicht
Win32.Nsag.a + "www.oneklicksearch.com" |
||
|---|---|---|
| #0
| ||
|
22.06.2005, 12:46
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
22.06.2005, 16:27
Member
Themenstarter Beiträge: 31 |
#17
sry aber ich verstehe ehrlich gesagt nicht was ich tun soll..
die wininet.dll finde ich, ja, ist ne normale dll datei ok, also hier system32: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E4DC-D90A Verzeichnis von C:\WINDOWS\system32 22.06.2005 11:36 98.304 CmdLineExt.dll 22.06.2005 08:31 604.672 WININET.DLL 19.06.2005 19:44 766 spyware.ico 19.06.2005 19:44 4.286 spam.ico 19.06.2005 19:44 2.238 pharm.ico 19.06.2005 19:44 2.238 network.ico 19.06.2005 19:44 2.238 Date.ico 17.06.2005 15:10 99.678 wp.bmp 11.06.2005 10:07 1.155.072 winsflt.dll 28.05.2005 21:35 2.206 wpa.dbl Dann systemtemp: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E4DC-D90A Verzeichnis von C:\DOKUME~1\HYPHIS~1\LOKALE~1\Temp 22.06.2005 16:15 666 jusched.log 22.06.2005 11:36 4.592 temp.ani 22.06.2005 11:31 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22784.html 22.06.2005 11:26 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}6878.html 22.06.2005 11:17 16.384 ~DF1E4D.tmp 22.06.2005 11:17 512 ~DFF60F.tmp 22.06.2005 11:17 16.384 ~DFF600.tmp 22.06.2005 10:14 16.384 ~DF39C9.tmp 22.06.2005 10:14 16.384 ~DF1959.tmp 9 Datei(en) 73.267 Bytes 0 Verzeichnis(se), 1.436.438.528 Bytes frei Hier vom System: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E4DC-D90A Verzeichnis von C:\WINDOWS 22.06.2005 16:17 1.489.146 setupapi.log 22.06.2005 16:16 3.015 OEM.tmp 22.06.2005 16:15 0 0.log 22.06.2005 16:15 2.048 bootstat.dat 22.06.2005 12:24 32.476 SchedLgU.Txt 22.06.2005 11:11 2.945.340 ntbtlog.txt 22.06.2005 10:02 191.518 DirectX.log 22.06.2005 09:44 24.182 wmsetup.log 22.06.2005 09:44 316.640 WMSysPr9.prx 20.06.2005 06:46 48.064 Windows Update.log 11.06.2005 10:26 10.874 fsiuupd.log 11.06.2005 10:09 3.311.263 FSSFM.log 11.06.2005 10:09 218.655 RunSetup.log 11.06.2005 10:09 6.950.032 FSISU.log 11.06.2005 10:09 140.681 FSPROD.log 11.06.2005 10:09 20.364 FSPCINST.LOG 11.06.2005 10:09 1.129.794 FSSETUP.log 11.06.2005 10:09 150.036 FSSSINST.log 11.06.2005 10:09 5.554 FSSYSUPD.LOG 11.06.2005 10:09 5.789 FSSCINST.log 11.06.2005 10:09 15.692 fsmainst.log 11.06.2005 10:09 3.248 fsavunin.log 11.06.2005 10:09 7.980 FSAVCSIN.LOG 11.06.2005 10:09 8.136 FSASWINS.LOG 11.06.2005 10:09 15.663 FSGUIINS.LOG 11.06.2005 10:09 2.032 fsdginst.log 11.06.2005 10:09 17.531 fwesinst.log 11.06.2005 10:09 60.648 fstnbins.LOG 11.06.2005 10:08 12.837 fsrif.log 11.06.2005 10:08 9.944 fwinst.log 11.06.2005 10:08 30.688 FSAVINST.LOG 11.06.2005 10:08 2.185 DAASINST.LOG 11.06.2005 10:06 105.203 FSDEPH.log 11.06.2005 10:06 12.004 FSSGSUP.LOG 11.06.2005 10:06 218.994 fssgpex.LOG 11.06.2005 10:04 9.758 fsbwinst.log 11.06.2005 10:00 118.784 bwUnin-6.3.2.62-4476822L.exe 11.06.2005 09:57 1.869 Q-Klez.log 11.06.2005 09:55 506 LUINSTALL.LOG 09.06.2005 20:21 454 setuplog.txt 09.06.2005 12:04 180.856 setupact.log 09.06.2005 09:20 159 wiadebug.log 09.06.2005 09:20 50 wiaservc.log 05.06.2005 21:46 192 winamp.ini 04.06.2005 10:50 3.553 ULEAD32.INI 03.06.2005 17:37 4.032 ModemLog_Smart Link 56K Modem.txt Und zu guter letzt Sys: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E4DC-D90A Verzeichnis von C:\ 22.06.2005 16:28 0 sys.txt 22.06.2005 16:27 6.936 system.txt 22.06.2005 16:25 774 systemtemp.txt 22.06.2005 16:23 99.757 system32.txt 22.06.2005 16:15 805.306.368 pagefile.sys 22.06.2005 11:11 6.012 CWS.txt 22.06.2005 11:00 800 log.txt 22.06.2005 10:59 29 windows.txt 22.06.2005 10:57 298 win.txt 22.06.2005 10:41 0 start.txt 22.06.2005 10:21 682 pfind.txt 21.06.2005 08:22 2.147 fixme.reg 17.06.2005 16:26 1.330 restorealldisplaytabs.reg 17.06.2005 16:24 1.542 webtabmissing.reg 11.05.2005 10:56 39.944 finish.bmp |
|
|
|
|
|
|
22.06.2005, 17:04
Ehrenmitglied
Beiträge: 29434 |
#18
so langsam kommen wir der Sache schon naeher
 ...ohne Virenscanner (das kommt spaeter, wird dann aber eventuell nicht mehr notwendig sein)•LSPfix.exe http://www.spychecker.com/program/lspfix.html hake an: "I know what Im doing"-->Remove und loesche die winsflt.dll (eventuell musst du die dll von links nach rechts bringen) •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\WININET.DLL C:\WINDOWS\system32\spyware.ico C:\WINDOWS\system32\spam.ico C:\WINDOWS\system32\pharm.ico C:\WINDOWS\system32\network.ico C:\WINDOWS\system32\Date.ico PC neustarten + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.06.2005, 07:02
Member
Themenstarter Beiträge: 31 |
#19
alsoooo.... das winsflt.dll ist bei mir im LSPfix ned aufgelistet gewesen, ergo exisitert es nicht?
und hier das hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 07:02:54, on 23.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe D:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe D:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE D:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe D:\Programme\F-Secure Internet Security\Common\FSMA32.EXE c:\mfe\mfsql\bin\xsrvmfe.exe D:\Programme\F-Secure Internet Security\Common\FSMB32.EXE D:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe D:\Programme\F-Secure Internet Security\Common\FCH32.EXE D:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE D:\Programme\F-Secure Internet Security\FSPC\fspc.exe D:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe D:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\WINDOWS\Explorer.EXE D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe D:\Programme\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe D:\Programme\F-Secure Internet Security\Common\FSM32.EXE C:\WINDOWS\System32\ctfmon.exe D:\Programme\Common\Bin\WinCinemaMgr.exe D:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe D:\Programme\Netgear\wlancfg5.exe D:\Installationsdateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.at/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - D:\Programme\GMX Toolbar\toolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [IW ControlCenter] D:\Programme\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [F-Secure Manager] "D:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "D:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "D:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: MA521 Configuration Utility.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{95AC82C3-7178-4368-A15C-D6E046B2F063}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C298FC6F-D905-49F3-9F8E-584AED4C82E5}: NameServer = 192.189.51.195,192.189.51.19 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - D:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\Common\FSMA32.EXE O23 - Service: MERANT XDB Server for MFE 2.5 - Unknown owner - c:\mfe\mfsql\bin\xsrvmfe.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
|
|
|
|
23.06.2005, 11:36
Ehrenmitglied
Beiträge: 29434 |
#20
das sieht noch besser aus
Nun Virenscanner : http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.06.2005, 17:21
Member
Themenstarter Beiträge: 31 |
#21
ok hab ich gemacht und was jetzt?
hat mir einen virus angezeigt aber da kann man ja nix fixen oder so und das log ist auch kilometerlang... |
|
|
|
|
|
|
25.06.2005, 00:27
Ehrenmitglied
Beiträge: 29434 |
#22
poste alles, kein problem
besser noch, deaktiviere die Systemwiederherstellung http://virus-protect.org/Systemwiederherstellung.html , dann scanne noch mal (dann ist das Log nicht mehr so lang __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.06.2005, 07:27
Member
Themenstarter Beiträge: 31 |
#23
so ich poste jetzt nur mal die (meiner meinung nach) interessanten sachen:
Sat Jun 25 07:17:27 2005 => ERROR!!! Invalid Entry C:\WINDOWS\system32\RadClock.exe in SYSTEM\CurrentControlSet\Services\RadClock... Sat Jun 25 07:17:27 2005 => ERROR!!! Invalid Entry System32\DRIVERS\RadProbe.sys in SYSTEM\CurrentControlSet\Services\RadProbe... Sat Jun 25 07:17:31 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Sat Jun 25 07:17:31 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Sat Jun 25 07:17:36 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Sat Jun 25 07:17:41 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Sat Jun 25 07:18:06 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Sat Jun 25 07:18:06 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\FilePlanetDownloadCtrl.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:06 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\popcaploader.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:06 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\FilePlanetDownloadCtrl.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:11 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\popcaploader.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:14 2005 => Entry "HKCR\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}" refers to invalid object "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:20 2005 => Entry "HKCR\CLSID\{53707962-6F74-2D53-2644-206D7942484F}" refers to invalid object "D:\Programme\Spybot - Search & Destroy\SDHelper.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:25 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:26 2005 => Entry "HKCR\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}" refers to invalid object "a3dapi.dll". Action Taken: No Action Taken. Sat Jun 25 07:18:29 2005 => Entry "HKCR\CLSID\{C08AB035-3820-4FA7-9420-B0259A4DA2B8}" refers to invalid object "%SapTargetDir%\sapfewse.ocx". Action Taken: No Action Taken. Sat Jun 25 07:18:39 2005 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken. Sat Jun 25 07:18:44 2005 => Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken. Sat Jun 25 07:18:48 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken. Sat Jun 25 07:18:48 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Sat Jun 25 07:18:48 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Sat Jun 25 07:18:54 2005 => Entry "HKCR\PopCapLoader.PopCapLoaderCtrl2" refers to invalid object "{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}". Action Taken: No Action Taken. Sat Jun 25 07:18:54 2005 => Entry "HKCR\PopCapLoader.PopCapLoaderCtrl2.1" refers to invalid object "{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}". Action Taken: No Action Taken. Sat Jun 25 07:18:57 2005 => Entry "HKCR\SAPGUI.ResourceManagerDefault" refers to invalid object "{00100000-2003-1003-8D59-B2E1C7CAA060". Action Taken: No Action Taken. Sat Jun 25 07:19:00 2005 => Entry "HKCR\VMHomepage" refers to invalid object "{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}". Action Taken: No Action Taken. Sat Jun 25 07:19:00 2005 => Entry "HKCR\VMHomepage.1" refers to invalid object "{063801a4-61be-4289-a4d6-1242f9915e0f}". Action Taken: No Action Taken. Sat Jun 25 07:19:00 2005 => Entry "HKCR\WinCtlAdX.Installer" refers to invalid object "{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}". Action Taken: No Action Taken. Sat Jun 25 07:22:39 2005 => ***** Checking for specific ITW Viruses ***** Sat Jun 25 07:22:39 2005 => Checking for Welchia Virus... Sat Jun 25 07:22:39 2005 => Checking for LovGate Virus... Sat Jun 25 07:22:39 2005 => Checking for CodeRed Virus... Sat Jun 25 07:22:39 2005 => Checking for OpaServ Virus... Sat Jun 25 07:22:39 2005 => Checking for Sobig.e Virus... Sat Jun 25 07:22:39 2005 => Checking for Winupie Virus... Sat Jun 25 07:22:39 2005 => Checking for Swen Virus... Sat Jun 25 07:22:39 2005 => Checking for JS.Fortnight Virus... Sat Jun 25 07:22:39 2005 => Checking for Novarg Virus... Sat Jun 25 07:22:39 2005 => Checking for Pagabot Virus... Sat Jun 25 07:22:39 2005 => Checking for Parite.b Virus... Sat Jun 25 07:22:39 2005 => Checking for Parite.a Virus... Sat Jun 25 07:22:39 2005 => Checking for Adware.SeekSeek Virus... Sat Jun 25 07:22:39 2005 => ***** Scanning complete. ***** Sat Jun 25 07:22:39 2005 => Total Objects Scanned: 14577 Sat Jun 25 07:22:39 2005 => Total Virus(es) Found: 1 Sat Jun 25 07:22:39 2005 => Total Disinfected Files: 0 Sat Jun 25 07:22:39 2005 => Total Files Renamed: 0 Sat Jun 25 07:22:39 2005 => Total Deleted Objects: 0 Sat Jun 25 07:22:39 2005 => Total Errors: 24 Sat Jun 25 07:22:39 2005 => Time Elapsed: 00:06:21 Sat Jun 25 07:22:39 2005 => Virus Database Date: 2005/06/17 Sat Jun 25 07:22:39 2005 => Virus Database Count: 135140 Sat Jun 25 07:22:39 2005 => Scan Completed. |
|
|
|
|
|
|
25.06.2005, 10:30
Ehrenmitglied
Beiträge: 29434 |
#24
gehe in die Registry
start-->ausfuehren--> regedit HKLM\Software\microsoft\downloadmanager <--loeschen Fixe mit dem hIjackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank pc neustarten kopiere das mal in die killbox (ich weiss nicht, ob es noch da ist oder nur noch in der Registry anghezeigt wird C:\WINDOWS\Downloaded Program Files\FilePlanetDownloadCtrl.dll C:\WINDOWS\Downloaded Program Files\popcaploader.dll C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll nun versuche Onlinescans zu machen (Panda u.a. und berichte) http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.06.2005, 09:46
Member
Themenstarter Beiträge: 31 |
#25
1. ok werd ich machen.
2. was ganz schlechtes ist passiert... bin draufgekommen dass auch mein 2. rechner befallen ist... also genau die gleichen symptome (oneklicksearch etc.) allerdings noch keine virenmeldung und jetzt wollte ich wissen ob es irgendwie eine kurzform des bisherigen prozederes gibt? hier das hijackthis log vom 2. rechner: Logfile of HijackThis v1.99.1 Scan saved at 09:39:28, on 26.06.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE D:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe D:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE D:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe D:\Programme\F-Secure Internet Security\Common\FSMA32.EXE D:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe D:\Programme\F-Secure Internet Security\Common\FSMB32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\F-Secure Internet Security\Common\FCH32.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe D:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE D:\Programme\F-Secure Internet Security\FSPC\fspc.exe D:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe D:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\WINDOWS\explorer.exe D:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe D:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp6B35.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon-Drucker\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe O4 - HKLM\..\Run: [Microsoft Windows DHCP] C:\WINDOWS\System32\___r.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATAPl] ATAPl.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [VOBID] D:\Programme\InstantCDDVD\InstantDrive\InstantDrive.exe /remount O4 - HKLM\..\Run: [IW ControlCenter] D:\Programme\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [F-Secure Manager] "D:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "D:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "D:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\RunServices: [Sagate Security Firewall] sagate.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe O4 - HKLM\..\RunServices: [Bcvsrv32] system2.exe O4 - HKLM\..\RunServices: [ATAPl] ATAPl.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "D:\Programme\Nero6\Nero BackItUp\NBJ.exe" O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: MA111 Configuration Utility.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://D:\Programme\Canon-Drucker\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://D:\Programme\Canon-Drucker\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://D:\Programme\Canon-Drucker\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://D:\Programme\Canon-Drucker\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - D:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{754B11CE-C952-461C-9EB4-6AA1765A72D1}: NameServer = 192.168.0.1 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - D:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - D:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\Programme\F-Secure Internet Security\Common\FSMA32.EXE UPDATE: hab jetzt alles gemacht und mit 2 scannern gescannt.... einer hat mir gar nix gefunden, hier das log von panda: Incident Status Location Adware:Adware/Popuper No disinfected Windows Registry Adware:Adware/Smitfraud No disinfected C:\WINDOWS\System32\wp.bmp Adware:Adware/Popuper No disinfected C:\WINDOWS\system32\LogFiles\M6121600.so Adware:Adware/Popuper No disinfected C:\WINDOWS\system32\LogFiles\P6171900.so Adware:Adware/Smitfraud No disinfected C:\WINDOWS\system32\wp.bmp Adware:Adware/Hotoffers No disinfected D:\Installationsdateien\hijackthis\backups\backup-20050620-152746-586.dll Adware:Adware/PopCapLoader No disinfected D:\Installationsdateien\hijackthis\backups\backup-20050620-152747-239.inf Adware:Adware/Hotoffers No disinfected D:\Installationsdateien\hijackthis\backups\backup-20050620-152941-190.dll Dieser Beitrag wurde am 26.06.2005 um 13:32 Uhr von Hyphistos editiert.
|
|
|
|
|
|
|
26.06.2005, 18:00
Ehrenmitglied
Beiträge: 29434 |
#26
Fixe mit dem HijackTHis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp6B35.tmp O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O4 - HKLM\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe O4 - HKLM\..\Run: [Microsoft Windows DHCP] C:\WINDOWS\System32\___r.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\RunServices: [Sagate Security Firewall] sagate.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe O4 - HKLM\..\RunServices: [Bcvsrv32] system2.exe O4 - HKCU\..\Run: [Microsoft Synchronization Manager] ___synmgr.exe O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab PC neustarten Loesche mit der Killbox: C:\WINDOWS\System32\wp.bmp C:\WINDOWS\system32\LogFiles\M6121600.so C:\WINDOWS\system32\LogFiles\P6171900.so C:\WINDOWS\system32\LogFiles C:\WINDOWS\system32\Sagate.exe C:\WINDOWS\system32\slhost.exe C:\WINDOWS\System32\___r.exe C:\WINDOWS\system32\system2.exe D:\Installationsdateien\hijackthis\backups\backup-20050620-152746-586.dll D:\Installationsdateien\hijackthis\backups\backup-20050620-152747-239.inf D:\Installationsdateien\hijackthis\backups\backup-20050620-152941-190.dll PC neustarten 1. Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere den Code rein: 3. Speichere die Datei als Rem.bat auf dem Desktop 4. Doppel klick auf diese Datei Rem.bat @ECHO OFF attrib -s -r -h C:\WINDOWS\sites.ini attrib -s -r -h C:\WINDOWS\desktop.html attrib -s -r -h C:\WINDOWS\screen.html attrib -s -r -h C:\WINDOWS\zloader3.exe attrib -s -r -h C:\WINDOWS\popuper.exe attrib -s -r -h C:\WINDOWS\System32\___r.exe attrib -s -r -h C:\WINDOWS\System32\msmsgs.exe attrib -s -r -h C:\WINDOWS\System32\msole32.exe attrib -s -r -h C:\WINDOWS\System32\shnlog.exe attrib -s -r -h C:\WINDOWS\System32\intmon.exe attrib -s -r -h C:\WINDOWS\System32\intmonp.exe attrib -s -r -h C:\WINDOWS\System32\svcnet.exe attrib -s -r -h c:\windows\system32\wldr.dll attrib -s -r -h C:\WINDOWS\system32\ole32vbs.exe attrib -s -r -h C:\WINDOWS\system32\hhk.dll attrib -s -r -h C:\WINDOWS\System32\helper.exe attrib -s -r -h C:\WINDOWS\System32\hp6B35.tmp attrib -s -r -h C:\WINDOWS\System32\winnook.exe attrib -s -r -h C:\WINDOWS\system32\oleadm.dll attrib -s -r -h C:\WINDOWS\system32\oleadm32.dll attrib -s -r -h c:\wp.exe attrib -s -r -h c:\bsw.exe attrib -s -r -h c:\bsw.bmp attrib -s -r -h c:\wp.bm del C:\WINDOWS\sites.ini del C:\WINDOWS\desktop.html del C:\WINDOWS\screen.html del C:\WINDOWS\zloader3.exe del C:\WINDOWS\popuper.exe del C:\WINDOWS\System32\___r.exe del C:\WINDOWS\System32\msmsgs.exe del C:\WINDOWS\System32\msole32.exe del C:\WINDOWS\System32\shnlog.exe del C:\WINDOWS\System32\intmon.exe del C:\WINDOWS\System32\intmonp.exe del C:\WINDOWS\System32\svcnet.exe del c:\windows\system32\wldr.dll del C:\WINDOWS\system32\ole32vbs.exe del C:\WINDOWS\system32\hhk.dll del C:\WINDOWS\System32\helper.exe del C:\WINDOWS\System32\hp6B35.tmp del C:\WINDOWS\System32\winnook.exe del C:\WINDOWS\system32\oleadm.dll del C:\WINDOWS\system32\oleadm32.dll del c:\wp.exe del c:\bsw.exe del c:\bsw.bmp del c:\wp.bm exit -------------------------------------------------------------------------- Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert --->poste C:\log.txt •HOSTFILE: #öffne das HijackThis http://www.downloads.subratam.org/hijackthis.zip "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost WORM_AGOBOT.AEK+W32/Agobot-PU http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FAGOBOT%2EAEK&VSect=Sn http://www.sophos.de/virusinfo/analyses/w32agobotpu.html If you are not a Trend Micro customer please download the following file. Sysclean Package 3.0MB http://www.trendmicro.com/download/dcs.asp Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg starte in den abgesicherten Modus , klicke die reg-Datei und starte den PC sofort neu. danach: Start--> Ausfuehren-->(reinschreiben: cmd )--> kopiere nur die Eintraege der letzten 50 Tage raus einzeln reinkopieren: (wenn sich dann der Texteditor automatisch oeffnet--> kopieren-->Text hier einfuegen cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.06.2005, 19:15
Member
Themenstarter Beiträge: 31 |
#27
So habe alles gemacht und zumindest der IE dürfte nicht weiter befallen sein. komischerweise funktioniert jetzt das inet nicht mehr am standrechner (war schon vor dem prozedere) aber mitn laptop (also gerät1) komm ich rein, und der hängt aber nur per wlan am standrechner.... naja aber das gehört glaub ich nicht wirklich zu diesem problem *g*
Bezüglich den logs muss ich gleich sagen, weil es mir aufgefallen ist beim durchlesen, dass dieses shnlog.exe immer einen Fehler beim runterfahren ausgibt. das war auch schon vorher beim laptop so. das ist aber jetzt bei beiden geräten nicht mehr der fall. sieht also ganz gut aus. was soll ich denn jetzt noch weiter machen? die frage bezieht sich sowohl auf den laptop (das erste gerät) von dem ich ja die scan ergebnisse gepostet habe und auch mit dem standrechner, zu dem jetzt hier noch die ergebnisse der cmd befehle: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC1D-1E37 Verzeichnis von C:\WINDOWS\system32 26.06.2005 18:54 2.560 intmon.exe 26.06.2005 18:54 5.632 hhk.dll 26.06.2005 18:54 53.248 hp4C5A.tmp 25.06.2005 20:23 599.552 wininet.dll 25.06.2005 20:17 36.864 msole32.exe 25.06.2005 20:16 9.017 OLE32VBS.0XE 25.06.2005 20:16 766 spyware.ico 25.06.2005 20:16 4.286 spam.ico 25.06.2005 20:16 2.238 pharm.ico 25.06.2005 20:16 2.238 network.ico 25.06.2005 20:16 2.238 Date.ico 25.06.2005 20:16 34.409 shnlog.exe 24.06.2005 19:06 5.705 MSMSGS.0XE 21.06.2005 11:28 98.304 CmdLineExt.dll 19.06.2005 20:55 2.690 jupdate-1.5.0_02-b09.log 18.06.2005 19:59 2.184 wpa.dbl 11.06.2005 09:15 1.155.072 winsflt.dll 22.05.2005 14:03 3.448 SpoonUninstall-dBpowerAMP Musepack Codec.dat 22.05.2005 14:03 164.864 SpoonUninstall.exe 22.05.2005 14:02 27.958 SpoonUninstall-dBpowerAMP Musepack Codec.bmp 22.05.2005 14:00 20.894 SpoonUninstall-dBpowerAMP Music Converter.dat 22.05.2005 13:59 27.958 SpoonUninstall-dBpowerAMP Music Converter.bmp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC1D-1E37 Verzeichnis von C:\DOKUME~1\Anton\LOKALE~1\Temp 26.06.2005 18:41 644 kb.log 26.06.2005 18:40 16.384 ~DFD4F.tmp 26.06.2005 18:16 16.384 ~DF3CFB.tmp 26.06.2005 09:52 16.384 ~DF5FCC.tmp 26.06.2005 09:47 32.768 ~DF7C1.tmp 25.06.2005 14:45 4.592 temp.ani 25.06.2005 14:35 970 TempICQCLImage9319362028926.html 25.06.2005 12:11 16.384 ~DF5FFE.tmp 24.06.2005 19:06 0 dat30.tmp 24.06.2005 19:06 0 dat28.tmp 24.06.2005 19:06 16.384 ~DF3264.tmp 23.06.2005 22:39 32.768 ~DFC0E0.tmp 23.06.2005 17:35 16.384 ~DFD4A5.tmp 23.06.2005 17:35 16.384 ~DF8788.tmp 23.06.2005 17:35 16.384 ~DF4F10.tmp 21.06.2005 17:03 3.867 browserview-2260.htm 21.06.2005 11:28 3.867 browserview-2412.htm 11.06.2005 09:11 24.613 IadHide5.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC1D-1E37 Verzeichnis von C:\WINDOWS 26.06.2005 18:54 32.592 SchedLgU.Txt 26.06.2005 18:54 0 0.log 26.06.2005 18:54 159 wiadebug.log 26.06.2005 18:54 50 wiaservc.log 26.06.2005 18:54 2.048 bootstat.dat 26.06.2005 18:17 593.352 setupapi.log 26.06.2005 10:19 0 nsreg.dat 26.06.2005 10:19 99.970 UninstallFirefox.exe 26.06.2005 10:09 3.564 mozver.dat 25.06.2005 21:40 192 winamp.ini 25.06.2005 21:34 1.751 wincmd.ini 25.06.2005 20:16 4.096 UNINSTIU.0XE 24.06.2005 15:35 116 NeroDigital.ini 21.06.2005 11:19 24.108 wmsetup.log 20.06.2005 15:03 60.416 ALCFDRTM.VER 19.06.2005 20:59 961 vminst.log 11.06.2005 09:29 10.874 fsiuupd.log 11.06.2005 09:15 6.947.196 FSISU.log 11.06.2005 09:15 3.311.263 FSSFM.log 11.06.2005 09:15 218.655 RunSetup.log 11.06.2005 09:15 1.129.791 FSSETUP.log 11.06.2005 09:15 150.036 FSSSINST.log 11.06.2005 09:15 5.554 FSSYSUPD.LOG 11.06.2005 09:15 140.681 FSPROD.log 11.06.2005 09:15 5.789 FSSCINST.log 11.06.2005 09:15 15.686 fsmainst.log 11.06.2005 09:15 3.248 fsavunin.log 11.06.2005 09:15 20.364 FSPCINST.LOG 11.06.2005 09:15 7.980 FSAVCSIN.LOG 11.06.2005 09:15 8.136 FSASWINS.LOG 11.06.2005 09:15 15.661 FSGUIINS.LOG 11.06.2005 09:15 2.032 fsdginst.log 11.06.2005 09:15 17.532 fwesinst.log 11.06.2005 09:15 60.617 fstnbins.LOG 11.06.2005 09:15 12.837 fsrif.log 11.06.2005 09:15 9.944 fwinst.log 11.06.2005 09:15 30.688 FSAVINST.LOG 11.06.2005 09:15 2.185 DAASINST.LOG 11.06.2005 09:15 105.203 FSDEPH.log 11.06.2005 09:15 12.004 FSSGSUP.LOG 11.06.2005 09:14 218.994 fssgpex.LOG 11.06.2005 09:13 9.758 fsbwinst.log 11.06.2005 09:11 118.784 bwUnin-6.3.2.62-4476822L.exe 11.06.2005 09:10 2.321 Q-Klez.log 01.05.2005 13:41 32.411 SGTBox.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC1D-1E37 Verzeichnis von C:\ 26.06.2005 19:02 0 sys.txt 26.06.2005 19:01 7.162 system.txt 26.06.2005 19:00 4.543 systemtemp.txt 26.06.2005 18:58 94.182 system32.txt 26.06.2005 18:53 1.610.612.736 pagefile.sys 05.03.2005 15:27 0 IO.SYS 05.03.2005 15:27 0 CONFIG.SYS 05.03.2005 15:27 0 AUTOEXEC.BAT 05.03.2005 15:27 0 MSDOS.SYS 9 Datei(en) 1.610.718.623 Bytes 0 Verzeichnis(se), 8.194.265.088 Bytes frei |
|
|
|
|
|
|
26.06.2005, 19:24
Ehrenmitglied
Beiträge: 29434 |
#28
wau...das geht ja wie der Blitz
Loesche mit der killbox: C:\WINDOWS\system32\intmon.exe C:\WINDOWS\system32\hhk.dll C:\WINDOWS\system32\hp4C5A.tmp C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\OLE32VBS.0XE C:\WINDOWS\system32\spyware.ico C:\WINDOWS\system32\spam.ico C:\WINDOWS\system32\pharm.ico C:\WINDOWS\system32\network.ico C:\WINDOWS\system32\Date.ico C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\system32\MSMSGS.0XE C:\WINDOWS\UNINSTIU.0XE PC neustarten in 5 minuten poste ich dir die Anweisungen fuer die wininet.dll (fuer diesen und den anderen PC ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.06.2005, 19:27
Ehrenmitglied
Beiträge: 29434 |
#29
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert --->poste C:\log.txt fuer beide PCs: Start -- alle Programme -- Zubehoer -- Editor und kopiere folgenden Text rein: dir %Systemdrive%\wininet.dll /a h /s > files.txt start notepad files.txt - Speichern als: winit.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate winit.bat -- doopelklick auf die bat-Datei , der Editor oeffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.06.2005, 06:52
Member
Themenstarter Beiträge: 31 |
#30
ich werde das so schnell wie möglich machen.
jetzt bin ich erst mal zufrieden dass mein inet wieder funktioniert!! bin heute die ganze zeit in verbindung mit der service hotline meines inet anbieters gewesen, weils ned gegangen ist. im endeffekt hat sich herausgestellt dass die firewall wohl wegen des viruses irgendwas geblockt hat und somit ging das inet auch nicht mehr richtig... jetzt ist sie deinstalliert und ich installier ne andere. bin heilfroh dass es jetzt wieder funktioniert. das ganze zeug werd ich morgen dann machen UPDATE: das mit der Killbox war KEINE GUTE IDEE und scheinbar alles andere als gesund. Beim booten kam jetzt 5 mal hintereinander ein Bluescreen mit Registrydateifehler oder so was ähnlichem, auf jedem Fall etwas im win32 ordner!!! das es jetzt zum booten ging war wohl reines glück, auf jeden fall möchte ich jetzt nicht ausprobieren ob es nachher nochmal geht weil es sonst passieren könnte dass ich erst recht wieder nicht booten kann und dann auch kein inet habe. ich gehe jetzt halt trotzdem mal die restlichen schritte durch. UPDATE2: hier die logs: D:\Installationsdateien\rkfiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\___j.0ll: UPX! C:\WINDOWS\system32\___synmgr.0xe: FSG! C:\WINDOWS\system32\___u.0: FSG! C:\WINDOWS\system32\___u.0xe: FSG! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\___j.0ll: UPX! C:\WINDOWS\system32\___synmgr.0xe: FSG! C:\WINDOWS\system32\___u.0: FSG! C:\WINDOWS\system32\___u.0xe: FSG! Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\daemon.dll: UPX! C:\WINDOWS\___n.0XE: FSG! Finished bye files.txt von Rechner2 (Standrechner): Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC1D-1E37 Verzeichnis von C:\WINDOWS\system32 25.06.2005 20:23 599.552 wininet.dll 1 Datei(en) 599.552 Bytes Verzeichnis von C:\WINDOWS\system32\dllcache 18.08.2001 14:00 599.552 wininet.dll 1 Datei(en) 599.552 Bytes Anzahl der angezeigten Dateien: 2 Datei(en) 1.199.104 Bytes 0 Verzeichnis(se), 8.000.827.392 Bytes frei Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 1CE4-0F4D files.txt von Rechner1 (laptop): Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E4DC-D90A Verzeichnis von C:\WINDOWS\system32 22.06.2005 08:31 604.672 WININET.DLL 1 Datei(en) 604.672 Bytes Verzeichnis von C:\WINDOWS\system32\dllcache 29.08.2002 14:00 604.672 wininet.dll 1 Datei(en) 604.672 Bytes Anzahl der angezeigten Dateien: 2 Datei(en) 1.209.344 Bytes 0 Verzeichnis(se), 2.729.111.552 Bytes frei Volume in Laufwerk I: hat keine Bezeichnung. Volumeseriennummer: 1CE4-0F4D Dieser Beitrag wurde am 28.06.2005 um 07:33 Uhr von Hyphistos editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.a
wininet.dll (suchen--> findest du sie ??? )
Start--> Ausfuehren-->(reinschreiben: cmd )--> kopiere nur die Eintraege der letzten 50 Tage raus
einzeln reinkopieren: (wenn sich dann der Texteditor automatisch oeffnet--> kopieren-->Text hier einfuegen
cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina
rund um die PC-Sicherheit