Trojaner lässt sich nicht löschen

#0
22.06.2005, 18:49
...neu hier

Beiträge: 5
#1 Hallo zusammen

Ich habe folgendes Problem:

Mein Sicherheitssystem (AntiVir) teilt mir ständig mit, dass mein Computer mit Trojanern übersät ist.
Jedes Mal teilt er mir folgendes mit:


C:\WINDOWS\SYSTEM32\HP71C1.TMP

Ist das Trojanische Pferd TR/Click.Age.dj.5.C


Danach klicke ich das Feld "Datei löschen" an, jedoch ohne Erfolg, da diese Meldung (mit verschiedenen Dateien) immer wieder kommt. Ich habe auch schon so viele Male meinen Computer mit dem AntiVir gescannt, doch er konnte den Trojaner nie löschen.
Das Forum habe ich auch schon einige Male durchgecheckt, doch komme da irgendwie nicht klar...

Ich bitte Euch dringend um Hilfe.

Danke schon im Voraus
Dieser Beitrag wurde am 22.06.2005 um 20:59 Uhr von Albert200 editiert.
Seitenanfang Seitenende
23.06.2005, 00:40
Member
Avatar Discordia

Beiträge: 38
#2 hallo lade dir erstmal hijackthis

http://www.hijackthis.de/index.php#anl

und scanne dein system..dann kannst du entweder den log posten oder besser auf der gleichen seite selbst auswerten lassen...die bösen sachen fixt du dann ( häckchen setzten )

und mache auch gleich mal einen online scan z.B. hier
http://www.pandasoftware.es/activescan/de/default.asp

wenn es probleme gibt oder fragen dann poste einfach nochmal
vielleicht muss man an deinem system noch mehr machen

mfg
__________
creatio ex nihilo vs. publico
Dieser Beitrag wurde am 23.06.2005 um 00:59 Uhr von Discordia editiert.
Seitenanfang Seitenende
23.06.2005, 16:56
...neu hier

Themenstarter

Beiträge: 5
#3 ich habe hijackthis gedownloadet und die "bösen sachen" fixen lassen, aber mein antivirus programm meldet mir immer noch folgendes

C:\WINDOWS\SYSTEM32\HP6C47.TMP

Ist das Trojanische Pferd TR/Click.Age.dj.5.C

was soll ich tun?
Seitenanfang Seitenende
26.06.2005, 01:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

C:\WINDOWS\SYSTEM32\HP6C47.TMP

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes",
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2005, 15:01
...neu hier

Themenstarter

Beiträge: 5
#5 vielen Dank,

ich habe versucht die Datei zu löschen aber es geht nicht, "kann nicht gelöscht werden", kein Ahnung weshalb.

Mein Anti-Vir hat die Datei gelockt und wird beim nächsten Aufstarten gelöscht aber jetzt gibt sie eine andere Datei als das Trojanische Pferd an, die sich leider nicht löschen lässt...
Seitenanfang Seitenende
27.06.2005, 15:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"


Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage aus dem sich öffnenden Editor raus

einzeln reinkopieren;)dann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.06.2005, 17:08
...neu hier

Beiträge: 2
#7 C:\DOKUMENTE UND EINSTELLUNGEN\LINTEC\MSDIRECTX.SYS

Ist das Trojanische Pferd TR/Spy.Agent.dg.2.B

Wer kann mir helfen, das zu löschen. Es lässt sich weder von Spy & Destroy noch von der Steganos Anti Spyware löschen. Mein AntiVir gibt mir ständig diese Meldung.

Vielen Dank..
Seitenanfang Seitenende
27.06.2005, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Zimtstern

dir kann geholfen werden, aber ich brauche das Log vom HijackThis: (damit ich weiss, welche System du hast und wie die genaue Bezeichnung vom Backdoor ist)

http://www.antisource.com/article.php/rootkit-msnt-msdirectx
http://www.sophos.de/virusinfo/analyses/w32sdbotwr.html

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2005, 00:10
...neu hier

Themenstarter

Beiträge: 5
#9 vielen dank an sabina

hier ist mein logfile
wäre froh wenn du es dir mal anschauen könntest:

Logfile of HijackThis v1.99.1
Scan saved at 00:08:27, on 28.06.2005
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\shnlog.exe
C:\dokumente und einstellungen\alan\lokale einstellungen\temp\fsg_4203.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\WinRAR.exe
C:\DOKUME~1\Alan\LOKALE~1\Temp\Rar$EX08.l00\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp941A.tmp
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\alan\lokale einstellungen\temp\fsg_4203.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

muss ich dir noch die liste aus "ausführen, cmd,..." schicken?
die ist aber sehr lange...
grüsse albert
Dieser Beitrag wurde am 28.06.2005 um 00:23 Uhr von Albert200 editiert.
Seitenanfang Seitenende
28.06.2005, 00:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Albert

der PC besteht nur aus Malware...hast du Nerven ?????????????
Ich helfe dir, es zu reinigen, aber ueberlege dir vorher, ob du nicht lieber formatierst.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2005, 23:39
...neu hier

Themenstarter

Beiträge: 5
#11 an sabina

ich habe mich entschieden meinen PC zu reinigen zu versuchen...
und wäre froh wenn du mir dabei helfen könntest.

was denkst du, besteht eine grosse möglichkeit, dass wir es schaffen meinen pc vollständig zu reinigen?

bitte um hilfe und danke dir im voraus

Albert
Seitenanfang Seitenende
28.06.2005, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp941A.tmp
O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\alan\lokale einstellungen\temp\fsg_4203.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

PC neustarten



•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\wp.exe
C:\wp.bmp
C:\bws.exe
C:\WINDOWS\sites.ini
C:\WINNT\System32\helper.exe
C:\WINNT\system32\dprsx.dll

C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\AWM226.exe
C:\WINDOWS\system32\OLE32VBS.0XE
C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\SHNLOG.0XE

C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\pharm.ico
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\Date.ico

C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\OLEADM.DLL
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\hookdump.exe
C:\WINDOWS\system32\C:\WINDOWS\system32\hp941A.tmp
C:\WINDOWS\system32\msmsgs.exe
C:\Programme\PSGuard\PSGuard.exe
C:\Programme\PSGuard
C:\WINDOWS\system32\windllsys32.exe
c:\dokumente und einstellungen\alan\lokale einstellungen\temp\fsg_4203.exe
C:\WINDOWS\system32\hp941A.tmp

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=-
"notepad2.exe"=-
"winlogon.exe"=-
"paint.exe"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="Search Bar"="http://search.msn.com/intl/searchpane/en-au/prov2.htm"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""="http://home.microsoft.com/access/autosearch.asp?p=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://search.msn.com/spbasic.htm"
"Use Custom Search URL"= dword:00000000
"Use Search Asst"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}]
[-HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}]
[-HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage]
[-HKEY_CLASSES_ROOT\CLSID\VMHomepage.1]
[-HKEY_CLASSES_ROOT\Interface\{1E1B2878-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\TypeLib\{1E1B286C-88FF-11D2-8D96-D7ACAC95951F}]
[-HKEY_CLASSES_ROOT\VMHomepage]
[-HKEY_CLASSES_ROOT\VMHomepage.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\HTTP\Parameters\S]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\r]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel system tool"=-
"WindowsFZ"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken. und gleich wieder in den Normalmodus starten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



Start--> Ausfuehren-->(reinschreiben: cmd )--> kopiere nur die Eintraege der letzten 50 Tage raus

einzeln reinkopieren: (wenn sich dann der Texteditor automatisch oeffnet--> kopieren-->Text hier einfuegen


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

----------------------------------------------------------

http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip
1. Unzip/extract the files inside to a folder on your desktop.
2. Open the folder. Double click on FindIt's.bat and wait for Notepad to open a text file. It will take a while so please be patient ...
Poste bitte das Log vom Scann

Pfind
http://www.bleepingcomputer.com/files/pfind.php

laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

------------------------------------------------

Silentrunners
http://virus-protect.org/silentrunner.html

klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird.

----------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.08.2005, 21:53
...neu hier

Beiträge: 2
#13 Hallo,

ich habe das gleiche Problem. Bitte um Hilfe

Hier der Auszug aus dem HjT Scan

Logfile of HijackThis v1.99.1
Scan saved at 21:34:08, on 03.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\NILSLE~1\LOKALE~1\Temp\Rar$EX00.155\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116090280787
O17 - HKLM\System\CS2\Services\Tcpip\..\{02718084-7828-426C-811D-989A839458B5}: NameServer = 194.8.194.60 213.168.112.60
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: Windows Update Service - Unknown owner - C:\WINDOWS\pwnsvc.exe (file missing)


DANKE

Birate
Seitenanfang Seitenende
03.08.2005, 22:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@Birate

Zitat

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.
Keine Chance...nur Backdoors, Viren und Trojaner....du musst formatieren

F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O4 - HKLM\..\Run: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\RunServices: [AntiVirus] kaspery.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [AntiVirus] kaspery.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O23 - Service: Windows lsass Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: Windows Update Service - Unknown owner - C:\WINDOWS\pwnsvc.exe (file missing)

Info:
http://virus-protect.org/nachneuinst.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2005, 10:38
...neu hier

Beiträge: 2
#15 Hallo Sabrina,

schade; na dann mal ran.
Vielen Dank für deine Hilfe.

Gruß
Birate
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »