Home » Viren, Trojaner & Malware Forum » Bin ein Neuling !Trojaner Spybi, Stervice und Click Age meldet AV » Themenansicht
Bin ein Neuling !Trojaner Spybi, Stervice und Click Age meldet AV |
||
|---|---|---|
| #0
| ||
|
29.06.2005, 14:12
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
29.06.2005, 15:41
Member
 Beiträge: 4730 |
#2
Ja, ein HijackThis-Logfile wäre schon mal ganz praktisch. Eine Erklärung dazu gibts hier: http://board.protecus.de/t9391.htm
Und nur Mut! Zusammen schaffen wird das  __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
29.06.2005, 16:19
...neu hier
Themenstarter Beiträge: 9 |
#3
Ok hab mich weiterhinn informiert im Forum und weis jetzt auch was ein Log ist und was zu tun ist wenn ich etwas fixen soll glaub ich.
Ausserdem hab ich HijackThis downgeloadet und ein Log erstellt ! Nochmal Danke für die Hilfsbereitschaft ! Hier ist das Log von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 16:03:25, on 29.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\vrsienc.EXE c:\windows\system32\sczldd.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Marcel Berbuer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\system32\vbrundll.dll O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsz390.dll O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [fnpngb] c:\windows\system32\kfqzqmf.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [uaecdll] C:\WINDOWS\uaecdll.exe O4 - HKLM\..\Run: [vrsienc] C:\WINDOWS\vrsienc.EXE O4 - HKLM\..\Run: [hsbydll] C:\WINDOWS\hsbydll.EXE O4 - HKLM\..\Run: [wmfidll] C:\WINDOWS\wmfidll.exe O4 - HKLM\..\Run: [plqloip] c:\windows\system32\sczldd.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) O23 - Service: Windows VisFx Components - Unknown owner - C:\WINDOWS\pewpsvc.exe (file missing) Achja habe jetzt auch escan und da kann man ja scheinbar auch einen log erstellen glaub ich auf jedenfall kann ich den ja auch mal reinschreiben wenn der benötigt wird. Ich habe den Log von oben nicht im abgesicherten modus gemacht ist das schlimm ? ich kann ja nocheinmal im abgesicherten modus einen machen und vorher noch mal adaware drüber laufen lassen... danke, Danke, Danke für die hilfe jetzt schonmal ! |
|
|
|
|
|
|
29.06.2005, 19:02
Member
Beiträge: 4730 |
#4
Nein, hättest Du das im abgesicherten Modus gemacht, würde evtl. das Ergebnis verfälscht werden
Erstmal Systemwiederherstellung deaktivieren. Systemsteuerung -> System -> Systemwiederherstellung -> auf allen Laufwerken deaktivieren. So, dann versuche zunächst folgende Einträge zu fixen: C:\WINDOWS\vrsienc.EXE c:\windows\system32\sczldd.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\system32\vbrundll.dll O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsz390.dll O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll O4 - HKLM\..\Run: [fnpngb] c:\windows\system32\kfqzqmf.exe O4 - HKLM\..\Run: [uaecdll] C:\WINDOWS\uaecdll.exe O4 - HKLM\..\Run: [vrsienc] C:\WINDOWS\vrsienc.EXE O4 - HKLM\..\Run: [hsbydll] C:\WINDOWS\hsbydll.EXE O4 - HKLM\..\Run: [wmfidll] C:\WINDOWS\wmfidll.exe O4 - HKLM\..\Run: [plqloip] c:\windows\system32\sczldd.exe r Dann scanne mal die HDAudPropShortcut.exe bei http://www.virustotal.com/xhtml/index_en.html ob das evtl. auch ein Virus ist. Lade dir außerdem AdAware und Spybot und update gleich die Definitionen. Gehe in den abgesicherten Modus, AdAware und Spybot ausführen und Probleme beheben lassen. Dann HJT nochmal starten und ggf. die oben genannten Einträge nochmal fixen (man weiß ja nie, ob es beim ersten mal gleich klappt). Evtl. musst Du noch die Prozesse, die auf die oben genannten EXE-Dateien verweisen, per Task-Manager abschießen. Suche die angegebenen EXE-Dateien und lösche sie manuell, sofern sie noch vorhanden sind. Auch per Regedit nach den entsprechenden Einträgen suchen und löschen. Danach PC wieder normal starten. HJT-Log hier posten. Ggf. auch von escan Log erstellen lassen und die Einträge hier posten, wenn denn noch welche vorhanden sind __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 29.06.2005 um 19:09 Uhr von blueslayah editiert.
|
|
|
|
|
|
|
29.06.2005, 22:15
...neu hier
Themenstarter Beiträge: 9 |
#5
So ich habe alles gemacht !
jetzt müsste es wieder laufen hoff ich. Aber wollte noch sagen das ich c:\windows\system32\sczldd.exe nich fixen konnte da ich es bei HJt nicht gefunden habe, auch HDAudPropShortcut.exe konnte ich über den Link nicht finden. Ich habe erst alle datein von oben die ich gefunden habe gefixed dann hab ich adaware etc geupdatet, dann bin ich in den sicheren modus gegangen, habe adaware und spybot S&D mal drüber laufen lassen, alles gelöscht was gefunden wurde, hab HJt nochmal gemacht und versucht die Nail.exe manuel zu löschen aber sie ist immer noch da. Leider bekomme ich immer noch meldungen von Stervice.C, Click Age.DB.Dll und Dldr.Spybi.1 ich hoffe dagegen gibt es auch eine Lösung aber es könnte ja noch an Nail.exe liegen die nicht gelöscht wurde... Ich schicke einfach mal den Log nachdem gesicherten modus : Logfile of HijackThis v1.99.1 Scan saved at 21:36:18, on 29.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.exe c:\windows\system32\ccrsmy.exe C:\Dokumente und Einstellungen\Marcel Berbuer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [xczceck] c:\windows\system32\ccrsmy.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) O23 - Service: Windows VisFx Components - Unknown owner - C:\WINDOWS\pewpsvc.exe (file missing) So dann jetzt schon mal Danke ! Ich glaube bisher klappt alles ganz gut ! Und ich habe noch Hoffnung das die anderen Probleme auch noch gelöscht werden können ! Danke Danke Danke ! (achja escan ist zu lang ) |
|
|
|
|
|
|
30.06.2005, 18:48
Member
Beiträge: 4730 |
#6
Ja, lästig, wenn etwas, was man gerade gelöscht hat, im nächsten Moment wieder da ist. Aber inzwischen sieht es schon besser aus
Lade Dir den Stinger: http://vil.nai.com/vil/stinger/ wieder abgesicherter Modus: STRG-ALT-ENTF drücken und alle verdächtigen Prozesse beenden. Haben idR seltsame Namen wie ccrsmy.exe - zur Not nach dem Dateinamen suchen, rechte Maustaste drauf und in den Eigenschaften der Datei schauen, ob's von Microsoft ist oder nicht. Ein jüngeres Datum der Datei kann auch schon darauf hinweisen, dass es nicht von Microsoft ist. Du kannst auch die HJT-Logfiles vergleichen. O4 - HKLM\..\Run: [xczceck] c:\windows\system32\ccrsmy.exe r hieß vorher O4 - HKLM\..\Run: [plqloip] c:\windows\system32\sczldd.exe r Auf sowas muss man leider auch achten, dass immer mal wieder neue Namen auftauchen. Halte Dich quasi nochmal an meine Anleitung, entferne aber alle Prozesse, die merkwürdig erscheinen aus dem Autorun in der Registry und lösche entsprechende Dateien manuell. Und auch unbedingt die Nail.exe loswerden! Ein Verweis wird vermutlich in der system.ini vorhanden sein. Diese Datei öffnen und den Eintrag C:\windows\nail.exe aus der Zeile entfernen. Außerdem die beiden Einträge noch fixen: O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) O23 - Service: Windows VisFx Components - Unknown owner - C:\WINDOWS\pewpsvc.exe (file missing) Die Dateien scheinen ja nicht vorhanden zu sein und die Einträge verlangsamen den PC, da Windows erstmal nach den Dateien sucht - außerdem bin ich mir net so sicher, ob die Einträge auch gutartig sind. Zum Schluss lässt Du Stinger mal Dein System überprüfen und die Viren löschen, die er noch findet. Neustart. Wenn das Problem dann weiterhin besteht, muss ich uns ne andere Strategie zurechtlegen. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
30.06.2005, 23:00
...neu hier
Themenstarter Beiträge: 9 |
#7
Ok ich habe alles noch einmal versucht aber Nail.exe, svcproc und die Datei deren name immer ändert lassen sich einfach nicht löschen !
Obwohl ich alle Dateien gelöscht habe erscheinen sie kurz darauf direkt wieder. Aber vielleicht habe ich auch etwas falsch gemacht denn das mit nail.exe löschen was du mir geschrieben hast habe ich leider nicht ganz verstanden, ich weis nicht was du meinst mit system.ini öffnen und dann dort löschen. Eins habe ich gelöscht bekommen aber die drei Sachen sind eben noch da. Als ich die AntiVir meldungen nochmal angesehen habe, habe ich einfach mal alle Infos rausgeschrieben vielleicht helfen dir die mehr, also Spy.bi ist C:\Dokumente\MarcelBerbuer\lokaleEinstellungen\Temp\D1448\Aurora.exe dann Stervice ist C:\Windows\svcproc.exe eine der Dateien die nicht gelöscht werden und das letzte ist Click Age in C:\Windows\system32\drpmon.dll aber diese Datei finde ich gar nicht. Ich schicke einfach nochmal das letzte logfile am schluss und bedanke mich nochmal für die Hilfe die du für mich aufbringst, Danke ! Logfile of HijackThis v1.99.1 Scan saved at 22:59:18, on 30.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe c:\windows\system32\klnwkii.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Marcel Berbuer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [yunhbq] c:\windows\system32\klnwkii.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) |
|
|
|
|
|
|
01.07.2005, 01:14
Member
Beiträge: 4730 |
#8
hmmm... das ist gruselig.
Ich überleg mal, aber vielleicht kann Dir jemand anderes noch dabei helfen. Sabina ist die Expertin. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
01.07.2005, 12:53
...neu hier
Themenstarter Beiträge: 9 |
#9
Ok ich habe auch schon irgendwo hier im Forum das problem gesehen und scheinbar haben sie es dort gelöst bekommen.
Aber als ich da mal nachgeschaut habe habe ich gar nichts verstanden und ich weis auch nicht ob ich da was anders machen soll. Ich kann ja einfach mal den Link hier reinstellen vielleicht verstehst du es ja was man da machen muss ansonsten muss jemand anderes noch weiterhelfen obwohl du auch schon ganz viel geholfen hast. Naja hier hab ich das geshen mit den drei Viren http://board.protecus.de/t17723.htm |
|
|
|
|
|
|
01.07.2005, 18:57
Ehrenmitglied
 Beiträge: 29434 |
#10
Marce
das ist nur der Anfang: Download Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick: regsrch.vbs kopiere rein: Windows VisFx Components Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Doppelklick: regsrch.vbs kopiere rein: pewpsvc.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Doppelklick: regsrch.vbs kopiere rein: SvcProc Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) --------------------------------------------------------------------------------- Start -- Ausfuehren -- schreib rein: cmd kopiere rein: sc stop SvcProc klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete SvcProc klicke "enter" kopiere rein: del D:\WINDOWS\svcproc.exe Klicke "enter" (Nail.exe/Software-aurora /Sahagent) http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] DOS öffnet sich -- warte den Scan ab -- es öffnet sich der Texteditor -- und poste den Text von output.txt. Pfind http://www.bleepingcomputer.com/files/pfind.php laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus einzeln reinkopieren  dann öffnet sich der Editor)cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ------------ INFO: # %Windir%\netsync.exe # %Windir%\rsyncmon.dll # %Windir%\ISSM0064.DAT # %System%\COMMCOS2.DLL # %System%\regsync.exe # %System%\vbrundll.dll # %System%\VBUninstall.exe http://virus-protect.org/Artikel/spyware/safesurfing.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.07.2005, 20:55
...neu hier
Themenstarter Beiträge: 9 |
#11
Ich habe alles so gemacht wie es da stand und habe alles rauskopiert.
Dann poste ich mal alles hintereinander! Erstmal das Ergebnis von Windows VisFx Components :REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VisFx] "DisplayName"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_VISFX_COMPONENTS\0000] "Service"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_VISFX_COMPONENTS\0000] "DeviceDesc"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows VisFx Components] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows VisFx Components] "DisplayName"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows VisFx Components\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows VisFx Components\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_VISFX_COMPONENTS\0000] "Service"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_VISFX_COMPONENTS\0000] "DeviceDesc"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows VisFx Components] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows VisFx Components] "DisplayName"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows VisFx Components\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_VISFX_COMPONENTS\0000] "Service"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_VISFX_COMPONENTS\0000] "DeviceDesc"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows VisFx Components] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows VisFx Components] "DisplayName"="Windows VisFx Components" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows VisFx Components\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows VisFx Components\Enum] dann wurde pewpsvc.exe nicht gefunden ! und das war bei SvcProc : [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000] "Service"="SvcProc" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc\Enum] "0"="Root\\LEGACY_SVCPROC\\0000" dann der nächste von find its : Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidance If any doubt back them up first * UPX! C:\WINDOWS\System32\VFX602.EXE * UPX! C:\WINDOWS\System32\XDMAKT.EXE »»»»» lagitamate file's can/will show in this section. »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» Checking Windir\svcproc.exe and nail.exe. Nail.exe »»»»» Checking for System32\DrPMon.dll. »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder. Datentr„ger in Laufwerk C: ist 54_01_03 Volumeseriennummer: 8C09-E4BC Verzeichnis von C:\WINDOWS\SYSTEM32 »»»»» Checking for SAHAgent ico files. Datentr„ger in Laufwerk C: ist 54_01_03 Volumeseriennummer: 8C09-E4BC Verzeichnis von C:\WINDOWS\system32 12.06.2005 22:34 3.262 creditcard32123123123asdsa1.ico 26.06.2005 22:34 3.262 dice23.ico 23.05.2005 17:24 6.875 kas text2.ico 24.05.2005 22:55 6.875 kill all spyware4512.ico 4 Datei(en) 20.274 Bytes 0 Verzeichnis(se), 135.363.600.384 Bytes frei »»»»»»»»»»»»»»»»»»»»»»»». ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\aurora und noch am ende noch die Einträge aus dem Editor : 01.07.2005 20:01 392.456 perfh007.dat 01.07.2005 20:01 381.692 perfh009.dat 01.07.2005 20:01 53.436 perfc009.dat 01.07.2005 20:01 902.370 PerfStringBackup.INI 01.07.2005 20:01 64.406 perfc007.dat 29.06.2005 20:41 3.126 xbox_round1.bmp 26.06.2005 22:34 3.262 dice23.ico 26.06.2005 22:34 3.126 xbox_round.bmp 25.06.2005 13:57 32.768 richup.exe 25.06.2005 13:57 225.280 richedtr.dll 25.06.2005 13:57 417.792 redtrsha.dll 25.06.2005 13:57 24.576 msxml3a.dll 24.06.2005 23:34 68.016 InstallerV3.exe 19.06.2005 19:48 1.158 wpa.dbl 13.06.2005 20:51 151.552 nsz390.dll 12.06.2005 22:34 3.262 creditcard32123123123asdsa1.ico 09.06.2005 23:14 1.300.312 MRT.exe 09.06.2005 03:50 151.552 nsk184.dll 06.06.2005 18:25 151.552 nse14A.dll 04.06.2005 15:38 43.520 CmdLineExt03.dll 03.06.2005 21:58 173.056 VFX602.exe 02.06.2005 21:03 32.768 regsync.exe 02.06.2005 21:03 217.088 vbrundll.dll 02.06.2005 21:03 413.696 COMMCOS2.DLL 27.05.2005 04:04 546.304 hhctrl.ocx 27.05.2005 04:04 137.216 itss.dll 27.05.2005 04:04 41.472 hhsetup.dll 27.05.2005 04:04 155.136 itircl.dll 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 128.280 wucltui.dll 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 174.872 wuaucpl.cpl 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 194.840 wuaueng1.dll 24.05.2005 22:55 6.875 kill all spyware4512.ico 24.05.2005 18:25 223.224 FNTCACHE.DAT 23.05.2005 17:24 6.875 kas text2.ico 17.05.2005 02:42 17.408 xpsp3res.dll 11.05.2005 20:19 151.552 nsw15.dll 11.05.2005 20:19 151.552 nsc10.dll 11.05.2005 20:19 151.552 nsi2BA.dll 11.05.2005 04:30 78.336 telnet.exe 04.05.2005 14:45 2.890.240 msi.dll 02.05.2005 22:56 605.696 urlmon.dll 02.05.2005 22:56 663.552 wininet.dll 02.05.2005 22:56 474.112 shlwapi.dll 02.05.2005 22:56 146.432 msrating.dll 02.05.2005 22:56 3.011.072 mshtml.dll 02.05.2005 22:56 448.512 mshtmled.dll 02.05.2005 22:56 39.424 pngfilt.dll 02.05.2005 22:56 1.484.288 shdocvw.dll 02.05.2005 22:56 96.768 inseng.dll 02.05.2005 22:56 152.064 cdfview.dll 02.05.2005 22:56 250.880 iepeers.dll 02.05.2005 22:56 1.019.904 browseui.dll 27.04.2005 22:28 4.212 zllictbl.dat 26.04.2005 20:50 34.064 lhacm.acm 21.03.2005 15:00 271.360 msihnd.dll 21.03.2005 15:00 884.736 msimsg.dll 21.03.2005 15:00 78.848 msiexec.exe 21.03.2005 15:00 15.360 msisip.dll 02.03.2005 20:09 578.560 user32.dll 02.03.2005 20:09 291.840 winsrv.dll 02.03.2005 20:09 56.832 authz.dll 02.03.2005 20:06 2.017.792 ntkrnlpa.exe 02.03.2005 20:06 2.138.112 ntoskrnl.exe 02.03.2005 20:06 1.836.416 win32k.sys 01.03.2005 01:11 8.491.008 shell32.dll 25.02.2005 05:34 22.752 spupdsvc.exe 25.02.2005 05:34 15.584 spmsg.dll 22.02.2005 19:46 299.008 atiiiexx.dll 22.02.2005 19:18 212.992 ATIDEMGR.dll 22.02.2005 18:55 6.713.344 atioglxx.dll 22.02.2005 18:36 224.256 ati2dvag.dll 22.02.2005 18:33 94.208 atipdlxx.dll 22.02.2005 18:33 73.728 Oemdspif.dll 22.02.2005 18:33 25.088 Ati2mdxx.exe 22.02.2005 18:33 39.936 ati2edxx.dll 22.02.2005 18:33 61.440 ati2evxx.dll 22.02.2005 18:33 352.256 ati2evxx.exe 22.02.2005 18:33 53.248 ATIDDC.DLL 22.02.2005 18:32 2.230.176 ati3duag.dll 22.02.2005 18:27 441.408 ativvaxx.dll 22.02.2005 18:23 131.072 atikvmag.dll 22.02.2005 18:22 17.408 atitvo32.dll 22.02.2005 18:20 196.608 ati2cqag.dll 18.01.2005 15:05 79.320 atiicdxx.dat 14.01.2005 10:57 1.285.120 ole32.dll 14.01.2005 10:57 74.752 olecli32.dll 14.01.2005 10:57 37.888 olecnv32.dll 14.01.2005 10:57 395.776 rpcss.dll 0 29.06.2005 20:41 0 dkt46F.tmp 29.06.2005 20:41 138.990 thin_installer2.exe 29.06.2005 20:41 7.651 dkt46D.tmp 29.06.2005 13:35 268 dayst.dat 29.06.2005 13:35 7.651 dkt478.tmp 29.06.2005 13:35 7.651 dkt477.tmp 29.06.2005 13:35 7.651 dkt476.tmp 29.06.2005 13:35 7.651 dkt475.tmp 29.06.2005 13:35 0 dkt474.tmp 29.06.2005 13:35 680 dkt472.tmp 29.06.2005 13:09 277.046 GRD$LOGFILE.LOG 29.06.2005 13:02 60.689 dkt441.tmp 29.06.2005 13:02 7.651 dkt440.tmp 28.06.2005 22:23 187.939 MSSVPN32.TMP 28.06.2005 22:15 4.592 SIntfIcn.ani 28.06.2005 22:14 24.516 SIntfNT.dll 28.06.2005 22:14 19.924 SIntf32.dll 28.06.2005 22:14 12.067 SIntf16.dll 28.06.2005 22:14 36.864 CmdLineExt02.dll 28.06.2005 22:11 16.384 ~DFC0A3.tmp 28.06.2005 21:01 7.651 dkt437.tmp 26.06.2005 22:18 7.651 dkt3EF.tmp 26.06.2005 22:18 636 dkt3DB.tmp 26.06.2005 22:18 0 dkt3E0.tmp 26.06.2005 22:18 0 dkt3D9.tmp 26.06.2005 22:18 0 dkt3C9.tmp 26.06.2005 22:18 416 dkt306.tmp 26.06.2005 21:54 636 dkt2FC.tmp 26.06.2005 21:54 0 dkt2F0.tmp 26.06.2005 21:54 138.990 thin_installer.exe 26.06.2005 21:54 416 dkt18A.tmp 26.06.2005 21:54 0 dkt2D7.tmp 01.07.2005 19:57 0 0.log 01.07.2005 19:57 473.395 WindowsUpdate.log 01.07.2005 19:56 2.048 bootstat.dat 01.07.2005 19:30 32.540 SchedLgU.Txt 30.06.2005 23:04 35.166 setupapi.log 30.06.2005 22:06 272.816 ntbtlog.txt 29.06.2005 20:41 16.211 ban.dat 29.06.2005 20:41 16.216 tmpban.dat 29.06.2005 20:41 9 ofxnm.dat 29.06.2005 15:21 43.463 MedCtrOC.log 29.06.2005 15:21 14.584 ehOCGen.log 29.06.2005 15:21 294.164 iis6.log 29.06.2005 15:21 13.236 ocmsn.log 29.06.2005 15:21 121.649 tsoc.log 29.06.2005 15:21 12.179 tabletoc.log 29.06.2005 15:21 53.046 ntdtcsetup.log 29.06.2005 15:21 88.834 comsetup.log 29.06.2005 15:21 1.374 imsins.log 29.06.2005 15:21 6.959 KB898461.log 29.06.2005 15:21 125.372 ocgen.log 29.06.2005 15:21 12.196 msgsocm.log 29.06.2005 15:21 30.739 plusoc.log 29.06.2005 15:21 55.264 netfxocm.log 29.06.2005 15:21 252.855 FaxSetup.log 29.06.2005 15:21 76.556 msmqinst.log 29.06.2005 14:27 7 tfxnm.dat 29.06.2005 14:27 5 sfwv.dat 29.06.2005 12:32 21 lupd.dat 29.06.2005 12:32 10 tmp.dat 28.06.2005 23:26 216 wiadebug.log 28.06.2005 23:09 50 wiaservc.log 28.06.2005 13:08 399.042 setupact.log 28.06.2005 00:26 151.552 system320nsm44A0 28.06.2005 00:26 151.552 system320nsd4510 (Spyware.HotSearchBar) 26.06.2005 22:51 4 num41.jbd 26.06.2005 22:51 4 data4711.bak 26.06.2005 22:51 4 info147.sys 16.06.2005 15:08 1.374 imsins.BAK 16.06.2005 15:08 14.885 KB896422.log 16.06.2005 15:08 16.865 KB883939.log 16.06.2005 15:08 7.424 updspapi.log 16.06.2005 15:07 12.224 KB896358.log 16.06.2005 15:07 11.778 KB890046.log 16.06.2005 15:07 38.872 KB893066.log 16.06.2005 15:07 10.937 KB896428.log 12.06.2005 18:05 116 NeroDigital.ini 08.06.2005 20:49 9.776 EventSystem.log 04.06.2005 23:23 4 nxui.dat 04.06.2005 23:23 14 uid24.key 04.06.2005 23:23 7 sfxnm.dat 27.05.2005 01:22 10.752 hh.exe 21.05.2005 23:06 8.715 wmsetup.log 21.05.2005 03:00 42.079 KB893803v2.log 20.05.2005 20:38 1.204.219 setupapi.log.0.old 14.05.2005 21:11 1.200 ImpTableL.bin 06.05.2005 19:29 249.856 Setup1.exe 06.05.2005 19:29 73.216 ST6UNST.EXE 28.04.2005 19:39 5.558 DirectX.log 26.04.2005 20:42 62.371 War3Unin.dat 26.04.2005 20:15 2.829 War3Unin.pif 26.04.2005 20:15 139.264 War3Unin.exe 26.04.2005 18:49 24.510 KB885835.log 26.04.2005 18:49 23.381 KB885836.log 26.04.2005 18:49 24.203 KB885250.log 26.04.2005 18:49 23.442 KB890175.log 26.04.2005 18:49 23.375 KB873339.log 26.04.2005 18:48 23.343 KB888113.log 26.04.2005 18:48 23.889 KB887742.log 26.04.2005 18:48 23.484 KB887472.log 26.04.2005 18:48 22.584 KB891781.log 26.04.2005 18:48 20.075 KB887998.log 26.04.2005 18:48 23.106 KB873333.log 26.04.2005 18:47 20.691 KB888302.log 26.04.2005 18:47 15.011 KB886185.log 26.04.2005 18:47 22.445 KB890923.log 26.04.2005 18:47 17.590 KB893086.log 26.04.2005 18:47 19.161 KB890859.log 26.04.2005 18:46 13.105 KB893803.log 14.03.2005 16:15 237 wmsetup10.log 14.03.2005 14:40 4.279 OEWABLog.txt 13.02.2005 13:25 15 oleco.ini 24.01.2005 14:34 316.640 WMSysPr9.prx 06.01.2005 18:21 2.454 ModemLog_Kommunikationskabel zwischen zwei Computern.txt 02.01.2005 23:12 1.523.510 setuplog.txt 02.01.2005 18:15 400 ODBC.INI 01.07.2005 20:32 0 sys.txt 01.07.2005 20:30 7.843 system.txt 01.07.2005 20:27 68.722 systemtemp.txt 01.07.2005 20:23 101.204 system32.txt 01.07.2005 20:19 811 pfind.txt 01.07.2005 20:13 1.810 log.txt 01.07.2005 19:56 1.073.139.712 hiberfil.sys 01.07.2005 19:56 1.610.612.736 pagefile.sys 30.06.2005 22:18 2 AVPCallback.log 30.06.2005 12:48 0 23990098.$$$ 29.06.2005 15:04 528.524 MWAV.LOG 04.06.2005 23:23 330 dbg.txt 06.01.2005 17:20 290 hoTrace.log so ich hoffe ich habe alles richtig gemacht und die Dateien helfen weiter. Obwohl ich glaube das ich bei den letzten Post keine 40 Tage abgezählt habe. Tut mir leid, ich kann ja noch mal was posten wenn ich was vergessen habe ! Dieser Beitrag wurde am 01.07.2005 um 21:02 Uhr von Marce editiert.
|
|
|
|
|
|
|
01.07.2005, 21:58
Ehrenmitglied
Beiträge: 29434 |
#12
Gehe in die Registry
Start-->Ausfuehren--> regedit mit rechtsklick loeschen HKEY_LOCAL_MACHINE\Software\RSyncMon HKEY_LOCAL_MACHINE\SOFTWARE\VBRun HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\RSyncMon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VBRunDLL HKEY_LOCAL_MACHINE\Software\SafeSurfing HKEY_LOCAL_MACHINE\System\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\netsync.exe HKEY_LOCAL_MACHINE\SYSTEM\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\regsync.exe HKEY_CLASSES_ROOT\Var3.RsyncHlpr.1 HKEY_CLASSES_ROOT\VBRun.VBRunDLL HKEY_CLASSES_ROOT\VBRun.VBRunDLL.1 HKEY_CLASSES_ROOT\btnetw.amo HKEY_CLASSES_ROOT\btnetw.amo.1 HKEY_CLASSES_ROOT\btnetw.iiittt HKEY_CLASSES_ROOT\btnetw.iiittt.1 HKEY_CLASSES_ROOT\btnetw.momo HKEY_CLASSES_ROOT\btnetw.momo.1 HKEY_CLASSES_ROOT\btnetw.ohb HKEY_CLASSES_ROOT\btnetw.ohb.1 CCleaner--> loesche alle *temp-Datein + urls http://virus-protect.org/temp.html Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4•Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" -->Windows VisFx (??) •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\netsync.exe C:\WINDOWS\rsyncmon.dll C:\WINDOWS\ISSM0064.DAT C:\WINDOWS\system32\COMMCOS2.DLL C:\WINDOWS\system32\regsync.exe C:\WINDOWS\system32\vbrundll.dll C:\WINDOWS\system32\VBUninstall.exe C:\WINDOWS\System32\VFX602.EXE C:\WINDOWS\System32\XDMAKT.EXE C:\WINDOWS\system32\creditcard32123123123asdsa1.ico C:\WINDOWS\system32\dice23.ico C:\WINDOWS\system32\kas text2.ico C:\WINDOWS\system32\kill all spyware4512.ico C:\WINDOWS\svcproc.exe C:\WINDOWS\pewpsvc.exe C:\WINDOWS\vrsienc.EXE C:\WINDOWS\uaecdll.exe C:\WINDOWS\hsbydll.EXE C:\WINDOWS\wmfidll.exe C:\WINDOWS\Nail.exe c:\windows\system32\klnwkii.exe C:\WINDOWS\system32\dice23.ico C:\WINDOWS\system32\nse14A.dll C:\WINDOWS\system32\nsk184.dll C:\WINDOWS\system32\nsz390.dll C:\WINDOWS\system32\nsw15.dll C:\WINDOWS\system32\nsc10.dll C:\WINDOWS\system32\nsi2BA.dll C:\WINDOWS\system32\InstallerV3.exe C:\WINDOWS\system32\redtrsha.dll C:\WINDOWS\system32\richedtr.dll C:\WINDOWS\system32\richup.exe C:\WINDOWS\system32\VFX602.exe Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und sofort wieder in den normalmodus gehen. Nailfix Auf den Desktop entpacken Im abgesicherter Modus die Nailfix.cmd Datei ausführen(dein Schreibtisch und Ikonen verschwinden und erscheinen wieder). http://www.noidea.us/easyfile/file.php?download=20050515010747824 suche auf dieser Seite http://virus-protect.org/antivirenfree.html Ewido lade und scanne (poste mir dann das Log vom SCan) mache einen Onlinescan mit panda + berichte http://virus-protect.org/onlinescan.html Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Systemdrive%\msxml3a.dll /a h /s > files.txt start notepad files.txt - Speichern als: msxml3a.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate msxml3a.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2005, 11:31
...neu hier
Themenstarter Beiträge: 9 |
#13
Ich habe alles gemacht, zwar konnte ich ein paar Dateien nicht finden un löschen über Start-->Ausfuehren--> regedit aber das meiste habe ich gelöscht bekommen.
Als ich "Start -> Einstellungen -> Systemsteuerung -> Software" -->Windows VisFx deinstallieren wollte wurde mir gesagt das diese Datei nicht zu finden ist und deswegen wurde sie nicht deinstalliert. Jetzt ist sie noch immer da aufgeführt aber geht nicht weg. Nail.exe konnt ich auch nicht mit der Killbox löschen aber die Datei ist bis jetzt nicht wieder aufgetaucht. Ansonsten hat die Killbox ihre Aufgabe voll und ganz erfüllt, hoffe ich zumindest. Über Panda hab ich keinen Virus gefunden aber der Scan von Ewido schon ein paar hier ist mal das Log : --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 11:14:32, 02.07.2005 + Report-Checksumme: 1ECFCBBF + Datum der Signaturen: 02.07.2005 + Version der Scanengine: v3.0 + Suchdauer: 21 min + Untersuchte Dateien: 342411 + Geschwindigkeit: 265.88 Dateien/Sekunden + Infizierte Dateien: 21 + Entfernte Dateien: 21 + Unter Quarantäne gestellte Dateien: 21 + Dateien, die nicht geöffnet werden konnten: 0 + Dateien, die nicht gesäubert werden konnten: 0 + Binder: Ja + Packer: Ja + Archive: Ja + Gescannt wurde: C:\ + Scanergebnis: C:\!Submit\Nail.exe -> Trojan.Nail -> Gesäubert mit Backup C:\!Submit\pewpsvc.exe -> TrojanDropper.Agent.mu -> Gesäubert mit Backup C:\Dokumente und Einstellungen\Marcel Berbuer\Desktop\anti troja dateien\backups\backup-20050629-210019-485.dll -> Spyware.HotSearchBar -> Gesäubert mit Backup C:\Dokumente und Einstellungen\Marcel Berbuer\Desktop\anti troja dateien\backups\backup-20050629-210019-750.dll -> Spyware.SafeSurfing -> Gesäubert mit Backup C:\Dokumente und Einstellungen\Marcel Berbuer\Desktop\anti troja dateien\backups\backup-20050629-210019-893.dll -> Spyware.SafeSurfing -> Gesäubert mit Backup C:\Dokumente und Einstellungen\Marcel Berbuer\Lokale Einstellungen\Temp\5.tmp\thnall1ac.exe -> Spyware.BetterInternet -> Gesäubert mit Backup C:\Dokumente und Einstellungen\Marcel Berbuer\Lokale Einstellungen\Temp\6.tmp\thnall1a.exe -> Spyware.BetterInternet.f -> Gesäubert mit Backup C:\Dokumente und Einstellungen\Marcel Berbuer\Lokale Einstellungen\Temp\asfjkk32.tmp -> Spyware.SafeSurfing -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\A0037882.EXE.VIR -> Trojan.Agent.cp -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\A0037884.EXE.VIR -> Trojan.Agent.cp -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\hsbydll.VIR -> TrojanDownloader.VB.hj -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\hsbydll.VIR00 -> TrojanDownloader.VB.hj -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\IXAXDLL.EXE.VIR -> TrojanDownloader.VB.hj -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\KOTDWYOGVH.EXE.001 -> Spyware.BetterInternet -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\KOTDWYOGVH.EXE.VIR -> Spyware.BetterInternet -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\SVCPROC.EXE.001 -> Trojan.Stervis.c -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\SVCPROC.EXE.002 -> Trojan.Stervis.c -> Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\SVCPROC.EXE.VIR -> Trojan.Stervis.c -> Gesäubert mit Backup C:\WINDOWS\system32\tqdsgd.exe -> Spyware.BetterInternet -> Gesäubert mit Backup C:\WINDOWS\system320nsd4510 -> Spyware.HotSearchBar -> Gesäubert mit Backup C:\WINDOWS\system320nsm44A0 -> Spyware.HotSearchBar -> Gesäubert mit Backup Und hierbei msxml3a ist nur das gekommen ich hoffe das ist richtig : Datentr„ger in Laufwerk C: ist 54_01_03 Volumeseriennummer: 8C09-E4BC Verzeichnis von C:\WINDOWS\system32 25.06.2005 13:57 24.576 msxml3a.dll 1 Datei(en) 24.576 Bytes Dieser Beitrag wurde am 02.07.2005 um 11:33 Uhr von Marce editiert.
|
|
|
|
|
|
|
02.07.2005, 12:49
Ehrenmitglied
Beiträge: 29434 |
#14
Gute Arbeit
schau, ob du die url findest (falls ja...loeschen) # %UserProfile%\Desktop\Free Xbox 360.url # %UserProfile%\Desktop\Free Sony PS3.url # %UserProfile%\Desktop\Kill All Spyware.url # %UserProfile%\Desktop\Kill Spyware.url # %UserProfile%\Desktop\Spyware Killer.url # %UserProfile%\Desktop\Sexsearch.url # %UserProfile%\Desktop\Virus Hunter.url C:\Dokumente und Einstellungen\Marcel Berbuer\Favoriten\1111\1111.url C:\Dokumente und Einstellungen\Marcel Berbuer\Lokale Einstellungen\Temp\thin_installer2.exe C:\Dokumente und Einstellungen\Marcel Berbuer\Lokale Einstellungen\Temp\thin_installer.exe ---------------------------------------------------------------------------- Windows VisFx (versuche im abgesicherten Modus alles zu loeschen, was zum Programm gehoert) pewpsvc.exe -> TrojanDropper.Agent.mu dieser Dropper hat den Dienst erstellt ...der hoffentlich aus der Registry rausgeloescht ist .... #TuneUp2004 (30 Tage free) http://virus-protect.org/reinigungstoolsregistry.html Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner --------------------------------------------------------------------------- ich will dir erklaeren, warum ich unsicher bin: msxml3a.dll wurde zur gleichen Zeit geladen, wie einer der Hijacker, aber es ist ofiziell eine Datei von Windows. Microsoft XML-Parsers http://support.microsoft.com/default.aspx?scid=kb;DE;269238 nun gbt es aber inzwischen auch schon verseuchte Dateien, nicht die msxml3a.dll, aber man kann ja nie wissen..... pruefe also bitte die dll C:\WINDOWS\system32\msxml3a.dll --->>>>> einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html • Jotti's malware scan 2.4 - einzelne "dateien" ueberpruefen http://virusscan.jotti.org/de/ Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten dann poste bitte das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2005, 12:00
...neu hier
Themenstarter Beiträge: 9 |
#15
Also habe alles erledigt ! Und Anti Vir meldet schon länger nichts mehr, also glaube ich das Die drei Trojaner gelöscht wurden.
Das ist jetzt vielleicht eine blöde Frage aber gibt es irgendeinen besonderen Weg die urls zu löschen ? denn ich habe so wie ich gesucht habe keine gefunden und glaube aber auch das ich das falsch gemacht habe. Zu Windows VisFx muss ich sagen ich habe ja einmal versucht es zu deinstallieren, naja auf jedenfall ist es jetzt weg. Ich bin in den abgesicherten modus gegangen und auf systemsteuerung, dann software und dann habe ich die Datei gesucht aber sie war einfach weg. Mit Tune Up habe ich alles hinbekommen und gesäubert was gefunden wurde. C:\WINDOWS\system32\msxml3a.dll habe ich bei beiden Links mal überprüfen lassen und es wurde nichts gefunden hier sind mal die Ergebnisse : This is a report processed by VirusTotal on 07/03/2005 at 11:40:36 (CET) after scanning the file "msxml3a.dll" file. Antivirus Version Update Result AntiVir 6.31.0.7 07.01.2005 no virus found Avira 6.31.0.7 07.01.2005 no virus found BitDefender 7.0 07.03.2005 no virus found ClamAV devel-20050501 07.03.2005 no virus found DrWeb 4.32b 07.01.2005 no virus found eTrust-Iris 7.1.194.0 07.02.2005 no virus found eTrust-Vet 11.9.1.0 07.01.2005 no virus found Fortinet 2.36.0.0 07.02.2005 no virus found Ikarus 2.32 07.01.2005 no virus found Kaspersky 4.0.2.24 07.03.2005 no virus found McAfee 4526 07.01.2005 no virus found NOD32v2 1.1160 07.01.2005 no virus found Norman 5.70.10 06.30.2005 no virus found Panda 8.02.00 07.02.2005 no virus found Sybari 7.5.1314 07.03.2005 no virus found Symantec 8.0 07.02.2005 no virus found TheHacker 5.8.2.064 07.02.2005 no virus found VBA32 3.10.4 07.03.2005 no virus found AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Und zum Abschluss nochmal das Hijack Logfile : Logfile of HijackThis v1.99.1 Scan saved at 11:59:17, on 03.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Marcel Berbuer\Desktop\anti troja dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Nochmals Vielen Dank an euch beide ihr habt mir wirklich sehr geholfen ! |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Hab probleme mit Trojanern die sich nicht löschen lassen oder besser die immer wieder kommen. Antivir meldet dauend von Spybi, Stervice und Click Age aber ich bekomm sie nicht weg ! Habe schon hier im Forum gesucht aber leider verstehe ich nicht viel davon... Das ist mein erster Pc mit Internet und ich verstehe gar nichts mehr ich weis nicht wie man fixed oder das Logfile erstellt. Bisher hatte ich noch nie so was...
Bitte helft mir schnell und erklärt mir wie ich was machen muss sonst bekomme ich nix auf die Rheie denk ich mir mal...