Antivirus Gold- Bin am Verzweifeln |
||
---|---|---|
#0
| ||
26.06.2005, 18:30
...neu hier
Beiträge: 9 |
||
|
||
26.06.2005, 20:41
Moderator
Beiträge: 6466 |
#2
http://board.protecus.de/t9391.htm ausführen.
Dann sieht man weiter..... __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
27.06.2005, 16:08
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@Marlem
1.Poste das Log vom HijackThis ich kann dir helfen, das sauber zu bekommen, aber du musst alle Tools ausfuehren, um die ich dich bitte. gehe in die Registry start-->Ausfuehren--> regedit HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold<--loeschen falls du findest: alles loeschen. C:\Programme\Search Maid C:\Programme\Virtual Maid C:\Windows\System32\Log Files C:\Programme\Security IGuard C:\Programme\PSGuard C:\Program%20Files\Make125 C:\Programme\AntivirusGold PC neustarten --------------------------------------------------------------------------- Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage aus dem sich öffnenden Editor raus einzeln reinkopierendann öffnet sich der Editor) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ----------------------------------------------- Pfind http://www.bleepingcomputer.com/files/pfind.php laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen ------------------------------------------------ Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird. --------------------------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.06.2005, 20:13
...neu hier
Themenstarter Beiträge: 9 |
#4
Erstmal Danke für die Hilfe,
@Sabina C:\Programme\Search Maid C:\Programme\Virtual Maid C:\Windows\System32\Log Files C:\Programme\Security IGuard C:\Programme\PSGuard C:\Program%20Files\Make125 C:\Programme\AntivirusGold hab ich nicht finden können. Denke sind schon gelöscht gewesen. Pfind habe ich angewendet aber die angegebene Domain von Silentrunner lies sich nicht aufbauen. Ich versuchs aber Morgen nochmal. Ich Poste dann so schnell es geht was der Editor sagt. Also nochmals danke bis dahin |
|
|
||
27.06.2005, 23:49
Ehrenmitglied
Beiträge: 29434 |
#5
poste inzwischen das Log vom HijackThis, bitte
HijackThis http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.06.2005, 00:05
...neu hier
Themenstarter Beiträge: 9 |
#6
Ok, hier ist dass gesamte Log von HijackThis:Logfile of HijackThis v1.99.1
Scan saved at 00:09:39, on 28.06.2005 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\shnlog.exe C:\WINNT\System32\intmon.exe C:\WINNT\popuper.exe C:\WINNT\System32\msole32.exe C:\WINNT\System32\intmonp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINNT\System32\internat.exe C:\WINNT\System32\hookdump.exe C:\WINNT\Explorer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Peter Ivens\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hpDDA9.tmp O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\System32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [windllsys32.exe] C:\WINNT\System32\windllsys32.exe O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_EN.cab O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.180.155/5/s1//q.chm::/file.exe O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {77EF6DBF-3929-4081-AF2E-178D387E211C} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1037_EN_XP.cab O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN.cab O18 - Filter: text/html - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll O18 - Filter: text/plain - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE |
|
|
||
28.06.2005, 00:16
Ehrenmitglied
Beiträge: 29434 |
#7
scanne:
Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hpDDA9.tmp O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\System32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [windllsys32.exe] C:\WINNT\System32\windllsys32.exe O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O18 - Filter: text/html - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll O18 - Filter: text/plain - {1A64A5A2-46CC-459A-991B-5DCB23B6AD16} - C:\WINNT\System32\kgch.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\System32\vbsys2.dll (file missing) PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\wp.exe C:\wp.bmp C:\bws.exe C:\WINNT\sites.ini C:\WINNT\System32\helper.exe C:\WINNT\system32\dprsx.dll C:\WINNT\system32\hhk.dll C:\WINNT\System32\AWM226.exe C:\WINNT\system32\OLE32VBS.0XE C:\WINNT\system32\ole32vbs.exe C:\WINNT\system32\SHNLOG.0XE C:\WINNT\system32\spyware.ico C:\WINNT\system32\spam.ico C:\WINNT\system32\pharm.ico C:\WINNT\system32\network.ico C:\WINNT\system32\Date.ico C:\WINNT\System32\shnlog.exe C:\WINNT\System32\intmon.exe C:\WINNT\popuper.exe C:\WINNT\System32\msole32.exe C:\WINNT\System32\intmonp.exe C:\WINNT\System32\hookdump.exe c:\eied_s7.cab c:\ex.cab C:\WINNT\System32\hpDDA9.tmp C:\WINNT\System32\vbsys2.dll C:\WINNT\System32\msmsgs.exe C:\Programme\PSGuard\PSGuard.exe C:\Programme\PSGuard C:\WINNT\System32\windllsys32.exe PC neustarten Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. Start--> Ausfuehren-->(reinschreiben: cmd )--> kopiere nur die Eintraege der letzten 50 Tage raus einzeln reinkopieren: (wenn sich dann der Texteditor automatisch oeffnet--> kopieren-->Text hier einfuegen cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ---------------------------------------------------------- Pfind http://www.bleepingcomputer.com/files/pfind.php laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen ------------------------------------------------ Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird. ---------------------------------------------- ist fuer mich : Adware/Smitfraud C:\WINDOWS\System32\wp.bmp Adware/Popuper C:\WINDOWS\system32\LogFiles\M6121600.so C:\WINDOWS\system32\LogFiles\P6171900.so __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.06.2005, 13:21
...neu hier
Themenstarter Beiträge: 9 |
#8
Ok der Hintergund ist wieder hergegestellt. Bis hierhin nochmals danke.
Vielleicht kannst du mir nebenbei auch bei folgendem Problem Helfen: Sobald ich Ordner oder Anwendungen (nicht alle) öffnen will, öffnen sich ca. 10 Fenster vom AntiVrir mit der Meldung: C:\WINNT\System32\OLEADM.DLL ist dass Tojanische Pferd TR/Agent.eo.1. Aber vielleicht gehts das ja auch noch weg. Hier Ist das Ergebniss von Pfind:Checking the C:\WINNT folder Checking the C:\WINNT\SYSTEM32 folder Checking all directories under the C:\WINNT\SYSTEM32\drivers folder Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder Checking the C:\Dokumente und Einstellungen\Peter Ivens\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\Peter Ivens\Application Data folder Und hier von SilentRunners: "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "windllsys32.exe" = "C:\WINNT\System32\windllsys32.exe" [file not found] "Intel system tool" = "C:\WINNT\System32\hookdump.exe" [null data] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [file not found] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "paint.exe" = "shnlog.exe" [null data] "notepad2.exe" = "popuper.exe" [null data] "winlogon.exe" = "msole32.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Synchronization Manager" = "mobsync.exe /logon" [MS] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] "RegSvr32" = "C:\WINNT\System32\msmsgs.exe" [null data] "PSGuard" = "C:\Programme\PSGuard\PSGuard.exe" [file not found] "AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "VMHomepage Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hpDDA9.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] "{2F5AC606-70CF-461C-BFE1-734234536262}" = "WindowBlinds CPL Extension" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbui.dll" ["Stardock.Net, Inc"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34545}" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\vbsys2.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ INFECTION WARNING! "AppInit_DLLs" = "wbsys.dll" ["Stardock.Net, Inc"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "Shell" = "Explorer.exe, msmsgs.exe" [MS], [null data] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/html\CLSID = "{1A64A5A2-46CC-459A-991B-5DCB23B6AD16}" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\kgch.dll" [file not found] INFECTION WARNING! text/plain\CLSID = "{1A64A5A2-46CC-459A-991B-5DCB23B6AD16}" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\kgch.dll" [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001 [prevents changes to Active Desktop configuration; removes Display Properties|Web (tab)] {User Configuration|Administrative Templates|Desktop|Active Desktop| Prohibit changes} HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001 [removes Display Properties, Background (tab)] {User Configuration|Administrative Templates|Control Panel|Display| Hide Background tab} Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINNT\System32\wp.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ "FriendlyName" = "Security info v2" "Source" = "C:\WINNT\screen.html" "SubscribedURL" = "" Startup items in "Peter Ivens" & "All Users" startup folders: ------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" [file not found] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "Yahoo! Companion" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" [file not found] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {6224F700-CBA3-4071-B251-47CB894244CD}\ "ButtonText" = "ICQ Pro" "MenuText" = "ICQ" "Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] Miscellaneous IE Hijack Points ------------------------------ C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL = "http://www.msn.de" [Strings]: SEARCH_PAGE_URL = "http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" [Strings]: SAFESITE_VALUE = "ie.search.msn.de" [Strings]: MS_START_PAGE_URL = "http://www.msn.de" Missing lines (compared with English-language version): [DeleteAutosearch.reg]: 1 line [Strings]: 4 lines HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]} LexBce Server, LexBceS, "C:\WINNT\system32\LEXBCES.EXE" ["Lexmark International, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "Yes" at the first message box. ---------- (total run time: 90 seconds, including 43 seconds for message boxes) Ich hoffe ich hab alles richtig gemacht. |
|
|
||
28.06.2005, 15:10
Ehrenmitglied
Beiträge: 29434 |
#9
warum fuehrst du nicht alles aus, worum ich dich gebeten habe ?
Gehe in die Registry Start-->Ausfuehren--> regedit HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\<---die 1 in eine 0 aendern loeschen: "FriendlyName" = "Security info v2" "Source" = "C:\WINNT\screen.html" "SubscribedURL" HKLM\Software\Classes\PROTOCOLS\Filter\ text/html\CLSID = loeschen: "{1A64A5A2-46CC-459A-991B-5DCB23B6AD16} HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = loeschen: "C:\WINNT\System32\wp.bmp" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\ loeschen: {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ loeschen: {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "VMHomepage Class" HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "Shell" = "Explorer.exe, loeschen; msmsgs.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ loeschen: "SystemCheck2" = "{54645654-2225-4455-44A1-9F4543D34545}" alles noch einmal: loesche mit der Killbox: C:\WINNT\System32\windllsys32.exe C:\WINNT\System32\hookdump.exe C:\Programme\PSGuard\PSGuard.exe C:\WINNT\System32\msmsgs.exe C:\WINNT\System32\hpDDA9.tmp C:\WINNT\System32\vbsys2.dll C:\WINNT\System32\wp.bmp C:\WINNT\screen.html C:\WINNT\System32\OLEADM.DLL PC neustarten Start--> Ausfuehren-->(reinschreiben: cmd )--> kopiere nur die Eintraege der letzten 50 Tage raus einzeln reinkopieren: (wenn sich dann der Texteditor automatisch oeffnet--> kopieren-->Text hier einfuegen cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ---------------------------------------------------------- Pfind http://www.bleepingcomputer.com/files/pfind.php laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen ------------------------------------------------ Silentrunners--> noch einmal http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.06.2005, 16:50
...neu hier
Beiträge: 2 |
#10
Hallo Sabina,
ich hatte gestern geanu den gleichen Anfall, meinen ersten, auf meinem PC. Total Nervernkrieg brach erst mal bei mir aus und nun habe ich hier bei dir schon tatkräftige Unterstützung in deinen Beiträgen gefunden... bin aber leider nicht alle Problem los geworden. Ich versuch sie mal zu beschreiben: 1. Das Hintergrundbild auf dem Desktop ist nach jedem Start wieder das wie oben beschriebene schwarze Horrorbild einer Website mit "Warning- your computer is infected usw." - in der Systemsteuerung-Anzeige- Desktopelemente anpassen- befindet sich immer "security info v3" - diese lösche ich raus, aber bei jedem Neustart ist sie erneut wieder da. 2. Schafft mich mein Rechner mit seinem Schneckentempo, dass er seit gestern an den Tag legt. Egal ob ich Programme öffne, Ordner öffne... er hängt sich immer auf.. oben im Fenster erscheint dann kurz " Keine Rückmeldung" ebenso das gleiche im Task- Manager aber nach ca. 10- 20 sec läuft dass Programm weiter, aber dass nervt ganz schön und 3. Verselbstständigt sich meine Maus... in unbestimmten Abständen und egal was ich mache, sie zieht sich von allein an den Bildschirmrand oder nach oben... auf jeden Fall bewegt sie sich wie von geisterhand. Dass kostet mich wirklich Schweißblut, zumal ich wirklich alles versucht habe, was du bisher empfohlen hast,. aber diese Probleme exestieren weiterhin... Bitte Hilf !!!! Hier mein Log vom Hijackthis, falls es weiterhilft: Logfile of HijackThis v1.99.1 Scan saved at 16:48:46, on 28.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVGNT.EXE C:\Dokumente und Einstellungen\Heiko Lünse\Eigene Dateien\Eigene Downloads\Programme\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\hookdump.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Heiko Lünse\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 205.188.146.145 Gruss duncanmcloud |
|
|
||
28.06.2005, 16:53
...neu hier
Themenstarter Beiträge: 9 |
#11
Hier die Enräge der letzeten 50 Tage:
Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3F32-14F8 Verzeichnis von C:\WINNT\system32 28.06.2005 12:27 3.072 intmonp.exe 21.06.2005 16:34 984 d3d8caps.dat 10.06.2005 19:07 766 wecxg32.dll 10.06.2005 19:07 766 sdfup.dll 10.06.2005 19:07 766 xcwer32.dll 10.06.2005 19:07 766 icvbr.dll 10.06.2005 19:07 766 gupd.dll 10.06.2005 19:07 766 cidft.dll 10.06.2005 19:07 766 zxmsn.dll 10.06.2005 19:07 766 cidpoq32.dll 10.06.2005 19:07 766 icnfe.dll 10.06.2005 19:07 766 icqrt.dll 10.06.2005 19:07 2 nthst32.dll 10.06.2005 19:07 351 mtwcnl32.dll 10.06.2005 15:14 100 LuResult.txt 09.06.2005 14:35 1.300.312 MRT.exe Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3F32-14F8 Verzeichnis von C:\DOKUME~1\PETERI~1\LOKALE~1\Temp 28.06.2005 16:40 1.894 kb.log 28.06.2005 14:54 16.384 ~DF92A7.tmp 28.06.2005 14:54 16.384 ~DF99E9.tmp 28.06.2005 14:47 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}31129.html 28.06.2005 13:33 22.068 SIntfNT.dll 28.06.2005 13:33 40.448 CmdLineExt03.dll 28.06.2005 13:33 12.305 SIntf16.dll 28.06.2005 13:33 4.592 SIntfIcn.ani 28.06.2005 13:33 17.324 SIntf32.dll 28.06.2005 12:37 16.384 ~DF8F3.tmp 27.06.2005 19:25 16.384 ~DFCC55.tmp 27.06.2005 19:25 16.384 ~DFDA52.tmp 26.06.2005 23:02 16.384 ~DFCB46.tmp 26.06.2005 23:02 16.384 ~DFBD1E.tmp 26.06.2005 22:53 10.134 dat3.tmp 26.06.2005 15:10 29.863 AGLanguage.ini 26.06.2005 15:10 2.574.804 cimb.exe 26.06.2005 15:10 36.864 gkgb.exe 25.06.2005 13:57 16.384 ~DFC4E0.tmp 25.06.2005 13:57 16.384 ~DFD3AA.tmp 24.06.2005 23:50 10.134 dat2.tmp 24.06.2005 23:35 10.538 control.xml 24.06.2005 23:35 2.574.804 cmjn.exe 24.06.2005 23:34 36.864 lkfn.exe 24.06.2005 15:25 16.384 ~DFC9FB.tmp 24.06.2005 15:25 16.384 ~DFBEA6.tmp 22.06.2005 20:31 78 E758E1CB.TMP 21.06.2005 16:41 16.384 ~DF734F.tmp 21.06.2005 16:41 16.384 ~DF658A.tmp 20.06.2005 19:12 16.384 ~DFC755.tmp 20.06.2005 19:12 16.384 ~DFD814.tmp 20.06.2005 00:49 16.384 ~DF1162.tmp 20.06.2005 00:49 16.384 ~DFADD.tmp 19.06.2005 22:39 16.384 ~DFD72C.tmp 19.06.2005 22:39 16.384 ~DFC9B1.tmp 19.06.2005 20:24 16.384 ~DFC6EB.tmp 19.06.2005 20:24 16.384 ~DFD70E.tmp 19.06.2005 14:44 16.384 ~DF3D6C.tmp 19.06.2005 14:44 16.384 ~DF2FA2.tmp 18.06.2005 18:57 16.384 ~DFC067.tmp 18.06.2005 18:57 16.384 ~DFC914.tmp 18.06.2005 16:36 16.384 ~DF64B.tmp 18.06.2005 16:36 16.384 ~DFF87E.tmp 17.06.2005 18:00 16.384 ~DFEE4F.tmp 17.06.2005 18:00 16.384 ~DFE2D7.tmp 16.06.2005 13:20 16.384 ~DFE7EE.tmp 16.06.2005 13:20 16.384 ~DFEE5B.tmp 15.06.2005 22:12 16.384 ~DFF075.tmp 15.06.2005 22:12 512 ~DFE690.tmp 15.06.2005 22:12 16.384 ~DFE685.tmp 15.06.2005 20:22 16.384 ~DFDC58.tmp 15.06.2005 20:22 16.384 ~DFCE7E.tmp 15.06.2005 18:36 16.384 ~DF69AA.tmp 15.06.2005 18:36 512 ~DF5D4B.tmp 15.06.2005 18:36 16.384 ~DF5D41.tmp 15.06.2005 02:00 78 DB365884.TMP 14.06.2005 13:44 16.384 ~DFC3AE.tmp 14.06.2005 13:44 16.384 ~DFBA3E.tmp 13.06.2005 17:52 16.384 ~DFC403.tmp 13.06.2005 17:52 16.384 ~DFBCE2.tmp 13.06.2005 14:16 16.384 ~DFBFD8.tmp 13.06.2005 14:16 16.384 ~DFB36B.tmp 12.06.2005 15:49 16.384 ~DF25A2.tmp 12.06.2005 15:49 16.384 ~DF3366.tmp 11.06.2005 13:32 16.384 ~DF6651.tmp 11.06.2005 13:32 512 ~DF5F93.tmp 11.06.2005 13:32 16.384 ~DF5F8A.tmp 10.06.2005 22:54 16.384 ~DFB7B3.tmp 10.06.2005 22:54 16.384 ~DFBE4E.tmp 10.06.2005 22:32 16.384 ~DFC9D0.tmp 10.06.2005 22:32 16.384 ~DFC03C.tmp 10.06.2005 22:32 512 ~DFC048.tmp 10.06.2005 19:29 16.384 ~DFE19B.tmp 10.06.2005 19:29 16.384 ~DFD3CD.tmp 10.06.2005 19:29 512 ~DFD3D7.tmp 10.06.2005 17:17 16.384 ~DFB203.tmp 10.06.2005 17:17 512 ~DFA83F.tmp 10.06.2005 17:17 16.384 ~DFA830.tmp 10.06.2005 17:14 16.384 ~DFB902.tmp 10.06.2005 17:14 16.384 ~DFC75B.tmp 10.06.2005 16:02 16.384 ~DFEF.tmp 10.06.2005 16:02 16.384 ~DF73C.tmp 10.06.2005 15:46 71.680 GLBF.tmp 10.06.2005 15:40 970 TempICQCLImage9319362014903.html 10.06.2005 15:15 16.384 ~DFA35D.tmp 10.06.2005 15:13 10.134 dat17C.tmp 10.06.2005 15:09 422 MSI176a5.LOG 10.06.2005 15:08 0 ~16B.tmp 10.06.2005 14:53 258.730 SNDUpdater54U.log 10.06.2005 14:53 162 SNDunin.log 10.06.2005 14:52 970 TempICQCLImage9319362005202.html 10.06.2005 14:52 35 IDSinst.LOG 10.06.2005 14:49 16.384 ~DFEC1B.tmp 10.06.2005 14:47 970 TempICQCLImage9319362013640.html 10.06.2005 14:42 16.384 ~DF10CE.tmp 10.06.2005 14:41 970 TempICQCLImage9319362013452.html 10.06.2005 14:30 970 TempICQCLImage9319362003114.html 10.06.2005 14:30 512 ~DFEA4.tmp 10.06.2005 14:30 16.384 ~DFE96.tmp 10.06.2005 04:20 72 9DF810CC.TMP 10.06.2005 04:18 60 B623B5B8.TMP 09.06.2005 16:07 16.384 ~DFFB92.tmp 09.06.2005 15:44 970 TempICQCLImage9319362004482.html 09.06.2005 12:17 16.384 ~DF2BD.tmp 09.06.2005 12:14 970 TempICQCLImage9319362005030.html 08.06.2005 21:27 16.384 ~DFBEF.tmp 08.06.2005 21:22 970 TempICQCLImage9319362017450.html 08.06.2005 19:27 16.384 ~DF3B.tmp 08.06.2005 19:27 16.384 ~DFC99D.tmp 08.06.2005 19:26 970 TempICQCLImage9319362021303.html 08.06.2005 19:21 422 MSI1ea04.LOG 08.06.2005 19:21 0 ~3FF.tmp 08.06.2005 19:16 422 MSIce402.LOG 08.06.2005 19:15 0 ~2B5.tmp 08.06.2005 19:14 422 MSIa7cd5.LOG 08.06.2005 19:13 0 ~169.tmp 08.06.2005 18:53 978 TempICQMagicNumber_9312663911572.html 08.06.2005 17:39 16.384 ~DFD71.tmp 08.06.2005 17:32 970 TempICQCLImage9319362028404.html 08.06.2005 15:12 16.384 ~DFA22.tmp 08.06.2005 15:12 16.384 ~DFE028.tmp 08.06.2005 15:11 970 TempICQCLImage9319362022539.html 08.06.2005 14:46 978 TempICQMagicNumber_9312663907734.html 08.06.2005 11:15 16.384 ~DF44A7.tmp 08.06.2005 11:15 16.384 ~DF9C7.tmp 08.06.2005 11:15 978 TempICQMagicNumber_9312663929629.html 08.06.2005 11:12 970 TempICQCLImage9319362022449.html 07.06.2005 22:02 16.384 ~DFF939.tmp 07.06.2005 21:41 970 TempICQCLImage9319362003034.html 07.06.2005 21:37 1.216 Outlook Startup.Log 07.06.2005 11:34 45.096 _VWUPSRV.EXE 05.06.2005 22:27 16.384 ~DF778.tmp 05.06.2005 21:47 970 TempICQCLImage9319362001674.html 04.06.2005 15:30 16.384 ~DFFC7E.tmp 04.06.2005 15:29 970 TempICQCLImage9319362028458.html 01.06.2005 18:26 16.384 ~DF813.tmp 01.06.2005 18:25 970 TempICQCLImage9319362027894.html 31.05.2005 22:40 16.384 ~DFFA9B.tmp 31.05.2005 22:16 970 TempICQCLImage9319362012790.html 31.05.2005 21:32 16.384 ~DFFC42.tmp 31.05.2005 19:56 970 TempICQCLImage9319362005028.html 31.05.2005 18:10 16.384 ~DFE4BB.tmp 31.05.2005 18:10 16.384 ~DF141F.tmp 30.05.2005 22:10 16.384 ~DFFD23.tmp 30.05.2005 20:00 16.384 ~DF57CD.tmp 30.05.2005 19:46 512 ~DFFDC0.tmp 30.05.2005 19:45 512 ~DF9F1.tmp 30.05.2005 19:45 16.384 ~DF9C9.tmp 30.05.2005 19:42 16.384 ~DFDF9.tmp 30.05.2005 19:33 512 ~DFF5CD.tmp 30.05.2005 19:33 16.384 ~DFF53B.tmp 30.05.2005 14:38 16.384 ~DFD2C.tmp 30.05.2005 14:38 16.384 ~DF48FC.tmp 25.05.2005 12:56 16.384 ~DFA90.tmp 25.05.2005 12:56 16.384 ~DFB987.tmp 24.05.2005 19:15 16.384 ~DF9EB.tmp 24.05.2005 19:15 16.384 ~DF71E7.tmp 24.05.2005 10:49 16.384 ~DFFFF7.tmp 23.05.2005 19:34 16.384 ~DF646.tmp 21.05.2005 22:39 16.384 ~DFEB90.tmp 20.05.2005 23:13 16.384 ~DFF730.tmp 20.05.2005 21:52 16.384 ~DFF722.tmp 20.05.2005 21:10 16.384 ~DF3E1.tmp 20.05.2005 18:27 16.384 ~DFE893.tmp 19.05.2005 13:36 16.384 ~DFE227.tmp 19.05.2005 13:36 16.384 ~DFD49A.tmp 18.05.2005 20:28 16.384 ~DFC2F.tmp 18.05.2005 20:28 16.384 ~DFE02C.tmp 14.05.2005 15:23 16.384 ~DFDDA8.tmp 13.05.2005 22:56 16.384 ~DFDE68.tmp 13.05.2005 19:01 16.384 ~DFC507.tmp 12.05.2005 14:14 16.384 ~DFD819.tmp 11.05.2005 22:04 16.384 ~DFDE0D.tmp 11.05.2005 21:40 16.384 ~DFF7CC.tmp 11.05.2005 21:40 16.384 ~DF5886.tmp 11.05.2005 21:40 16.384 ~DF7C49.tmp Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3F32-14F8 Verzeichnis von C:\WINNT 28.06.2005 16:41 32.504 SchedLgU.Txt 28.06.2005 14:54 365.772 ShellIconCache 28.06.2005 13:05 26.870 ntbtlog.txt 26.06.2005 17:28 23.730 ocgen.log 26.06.2005 17:28 56.047 comsetup.log 26.06.2005 17:28 77.592 iis5.log 26.06.2005 17:28 1.968 imsins.log 26.06.2005 17:28 1.780 ockodak.log 25.06.2005 00:12 1.942 imsins.BAK 24.06.2005 23:35 134.495 wmsetup.log 24.06.2005 23:31 369.923 setupapi.log 21.06.2005 17:48 593 win.ini 15.06.2005 20:19 10 popcinfo.dat 10.06.2005 15:27 72 wb.ini 10.06.2005 15:14 357 SIERRA.INI 30.05.2005 22:45 461 LEXSTAT.INI Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 3F32-14F8 Verzeichnis von C:\ 28.06.2005 16:51 0 sys.txt 28.06.2005 16:49 4.655 system.txt 28.06.2005 16:47 17.150 systemtemp.txt 28.06.2005 16:45 85.448 system32.txt 28.06.2005 16:42 201.326.592 PAGEFILE.SYS 28.06.2005 13:20 651 pfind.txt 24.06.2005 23:35 760 dltrace.Log Und hier die Textdatei nach dem Scan: Files found with this application may be legitimate. Only remove files that you know are malware related. Checking the C:\WINNT folder Checking the C:\WINNT\SYSTEM32 folder Checking all directories under the C:\WINNT\SYSTEM32\drivers folder Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder Checking the C:\Dokumente und Einstellungen\Peter Ivens\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\Peter Ivens\Application Data folder Und der Scan von SilentRunners: "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [file not found] "WindowBlinds" = "C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe auto" ["Stardock Systems, Inc"] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Synchronization Manager" = "mobsync.exe /logon" [MS] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /minˆ–" ["H+BEDV Datentechnik GmbH"] "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] "AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] PS: Wie schon gesagt ist der Hintergrund wieder hergestellt, und AntiVir hat auch aufgehört sich bei jeder Aktion 10mal zu melden |
|
|
||
28.06.2005, 23:28
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@Marlem
Sei nicht so ungeduldig...der PC ist noch nicht sauber Zitat Troj/StartPa-KV•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINNT\system32\intmonp.exe C:\WINNT\system32\wecxg32.dll C:\WINNT\system32\sdfup.dll C:\WINNT\system32\xcwer32.dll C:\WINNT\system32\icvbr.dll C:\WINNT\system32\gupd.dll C:\WINNT\system32\cidft.dll C:\WINNT\system32\zxmsn.dll C:\WINNT\system32\cidpoq32.dll C:\WINNT\system32\icnfe.dll C:\WINNT\system32\icqrt.dll C:\WINNT\system32\nthst32.dll C:\WINNT\system32\mtwcnl32.dll C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\cmjn.exe C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\cimb.exe C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\gkgb.exe C:\DOKUME~1\PETERI~1\LOKALE~1\Temp\lkfn.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html dann will ich noch mal die Daten sehen von: Verzeichnis von C:\WINNT\system32 Pfind http://www.bleepingcomputer.com/files/pfind.php laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.06.2005, 13:35
...neu hier
Themenstarter Beiträge: 9 |
#13
Die C:\WINNT... und C:\DOKUME... Dateien hab ich mit KillBox gelöscht und PC neu gestartet.
Der Hyperlynk zum CCleaner funktionierte nicht ( Downloadseite baute sich nicht auf) deshalb hab ich die deutsche Version von filehippo.com genommen. Hier die Daten von C:\WINNT\system32: Files found with this application may be legitimate. Only remove files that you know are malware related. Checking the C:\WINNT folder Checking the C:\WINNT\SYSTEM32 folder Checking all directories under the C:\WINNT\SYSTEM32\drivers folder Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder Checking the C:\Dokumente und Einstellungen\Peter Ivens\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\Peter Ivens\Application Data folder Und hier der Log von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 13:40:09, on 29.06.2005 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\explorer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINNT\System32\internat.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Peter Ivens\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_EN.cab O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.180.155/5/s1//q.chm::/file.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {77EF6DBF-3929-4081-AF2E-178D387E211C} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1037_EN_XP.cab O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE Und noch ne Frage: Was genau kannst du aus diesem Log eigentlich erkennen? Ich versteh da nur Bahnhof |
|
|
||
29.06.2005, 13:44
Ehrenmitglied
Beiträge: 29434 |
#14
Jetzt ist schon wieder was neues drauf..... (bitte waehrend der Reinigung nicht soviel surfen, vor allem nicht auf dubiosen Seiten....)
C:\WINNT\system32\intmonp.exe <--ist das wirklich geloescht ?????????? Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1014_EN.cab O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.180.155/5/s1//q.chm::/file.exe O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN.cab neustarten mache einen Onlinescan mit panda+ berichte (wenn der Antivirus "meckert"--> nicht beachten http://virus-protect.org/onlinescan.html + poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.06.2005, 13:54
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@duncanmcloud
C:\WINDOWS\System32\hookdump.exe (loeschen)...vorher im Taskmanager den Prozess beenden) Find_It__s.zip http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip 1. Unzip/extract the files inside to a folder on your desktop. 2. Open the folder. Double click on FindIt's.bat and wait for Notepad to open a text file. It will take a while so please be patient ... Poste bitte das Log vom Scann Pfind http://www.bleepingcomputer.com/files/pfind.php laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen ------------------------------------------------ Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es oeffnet sich der Editor-- und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Anstelle meines Hintergrundbildes hab ich eine Nachricht die besagt das mein Computer Infiziert sei. Wenn ich versuche Antivir Gold zu deinstalliere, installiert es sich nach na Zeit von alleine neu. Auch popen ständig Werbeseiten auf( Wie im diesem Augenblick). In blinder Hoffnung hab ich verschiedene Programme verwendet, die dass Problem eventuell zu beheben schienen :
Ad- Aware SE Personal
xp-AntiSpy
Spybot- Search & Destroy
AntiVir XP
Aber alles für die Katz.
Ich bin für jede Art von Hilfe sehr dankbar.
PS: Ich hab leider keine tiefgreifende Computerkenntnisse, also bitte ich für Idoit Antworten ;-)