Home » Spyware & Browser Hijacker Support Forum » Antivirus Gold + wininet.dll (Virus.Win32.Nsag.a) » Themenansicht
Antivirus Gold + wininet.dll (Virus.Win32.Nsag.a) |
||
|---|---|---|
| #0
| ||
|
30.06.2005, 11:54
Member
Beiträge: 54 |
||
 
|
|
|
|
30.06.2005, 12:00
...neu hier
Beiträge: 9 |
#2
Morgen, wenn du das gleiche Problem hast wie ich, dann kannst du ja mal die Programme und Anweisungen folgen die man mir gegeben hat.
Ich hab auch nicht so die Ahnung von PCs und habs trotzdem Antivirus runterbekommen. Also viel Glück dabei! |
|
|
|
|
|
|
30.06.2005, 12:04
Member
Themenstarter Beiträge: 54 |
#3
Ja, folgen ist gut, habs versucht, werd aber nich schlau draus.Hoffentlich kann mir jemand persönlich beschreiben, welche einzelnen Schritte ich tun muss.
|
|
|
|
|
|
|
30.06.2005, 12:58
Ehrenmitglied
 Beiträge: 29434 |
#4
Hallo@Jean-Luc
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
30.06.2005, 15:06
Member
Themenstarter Beiträge: 54 |
#5
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS 30.06.2005 11:19 148.937 WindowsUpdate.log 30.06.2005 11:13 0 0.log 30.06.2005 11:13 159 wiadebug.log 30.06.2005 11:13 50 wiaservc.log 30.06.2005 11:12 2.048 bootstat.dat 30.06.2005 11:11 2.908 COM+.log 30.06.2005 11:11 7.698 SchedLgU.Txt 30.06.2005 10:59 37.968 comsetup.log 30.06.2005 10:59 587.551 setuplog.txt 30.06.2005 10:58 207.444 setupapi.log 30.06.2005 10:55 106.920 iis6.log 30.06.2005 10:55 19.587 ntdtcsetup.log 30.06.2005 10:55 21.165 tsoc.log 30.06.2005 10:55 2.504 tabletoc.log 30.06.2005 10:55 4.382 imsins.log 30.06.2005 10:55 1.770 ocmsn.log 30.06.2005 10:55 238.911 setupact.log 30.06.2005 10:51 9.462 wmsetup.log 30.06.2005 10:51 316.640 WMSysPr9.prx 30.06.2005 10:51 1.617 OEWABLog.txt 30.06.2005 10:51 4.161 ODBCINST.INI 30.06.2005 10:50 749 WindowsShell.Manifest 30.06.2005 10:49 589 win.ini 30.06.2005 10:49 3.122 MedCtrOC.log 30.06.2005 10:49 29.464 ocgen.log 30.06.2005 10:49 1.748 msgsocm.log 30.06.2005 10:49 23.074 FaxSetup.log 30.06.2005 10:49 2.065 sessmgr.setup.log 30.06.2005 10:49 5.580 netfxocm.log 30.06.2005 10:48 253 DtcInstall.log 30.06.2005 10:48 20.414 msmqinst.log 30.06.2005 10:48 373 cmsetacl.log 30.06.2005 10:44 110 setuperr.log 30.06.2005 10:43 2.442 regopt.log 30.06.2005 10:43 231 system.ini 30.06.2005 10:31 10.947 WINNT32.LOG 30.06.2005 10:30 254 UPGRADE.TXT 30.06.2005 10:30 149 wsdu.log 30.06.2005 10:29 178 DHCPUPG.LOG 30.06.2005 03:56 116 NeroDigital.ini 29.06.2005 16:12 224.844 setupapi.old 29.06.2005 16:11 447 AvxOnline.log 29.06.2005 16:05 32 pavsig.txt 29.06.2005 15:00 2.137 sites.ini 15.06.2005 21:30 1.366 DirectX.log 03.06.2005 02:48 632 Sfc3ng.INI 30.05.2005 00:25 612 eReg.dat 29.05.2005 15:47 7.680 Thumbs.db 28.05.2005 21:23 308 KB825116.log 28.05.2005 21:22 20 Hposcv07.INI 28.05.2005 17:27 0 Sti_Trace.log 28.05.2005 17:11 400 ODBC.INI 28.05.2005 16:41 8.192 REGLOCS.OLD 28.05.2005 16:40 4.382 imsins.BAK 28.05.2005 16:36 0 control.ini 28.05.2005 16:32 36 vb.ini 28.05.2005 16:32 37 vbaddin.ini 25.10.2004 18:26 96.762 UNNeroVision.cfg 22.10.2004 16:12 2.293.760 UNNeroVision.exe 20.10.2004 16:05 161.797 UNNMIX.cfg 13.10.2004 13:28 2.277.376 UNNMIX.exe 04.08.2004 01:59 1.014.663 SET3.tmp 04.08.2004 01:59 1.014.663 SET1E.tmp 04.08.2004 01:55 14.043 SET8.tmp 04.08.2004 01:55 14.043 SET2D.tmp 04.08.2004 01:53 1.086.058 SET4.tmp 04.08.2004 01:53 1.086.058 SET21.tmp 04.08.2004 00:58 288.768 winhlp32.exe 04.08.2004 00:58 153.600 regedit.exe 04.08.2004 00:58 70.144 notepad.exe 04.08.2004 00:57 10.752 hh.exe 04.08.2004 00:57 1.035.264 explorer.exe 04.08.2004 00:57 50.688 twain_32.dll 18.08.2001 16:00 94.800 twain.dll 18.08.2001 16:00 82.944 clock.avi 18.08.2001 16:00 49.680 twunk_16.exe 18.08.2001 16:00 25.600 twunk_32.exe 18.08.2001 16:00 65.978 Seifenblase.bmp 18.08.2001 16:00 15.872 taskman.exe 18.08.2001 16:00 17.362 Rhododendron.bmp 18.08.2001 16:00 2 desktop.ini 18.08.2001 16:00 1.405 msdfmap.ini 18.08.2001 16:00 9.522 Zapotek.bmp 18.08.2001 16:00 17.062 Kaffeetasse.bmp 18.08.2001 16:00 18.944 vmmreg32.dll 18.08.2001 16:00 1.272 Blaue Spitzen 16.bmp 18.08.2001 16:00 80 explorer.scf 18.08.2001 16:00 65.954 Pr„riewind.bmp 18.08.2001 16:00 26.582 Granit.bmp 18.08.2001 16:00 17.336 Angler.bmp 18.08.2001 16:00 257.568 winhelp.exe 18.08.2001 16:00 65.832 Santa Fe-Stuck.bmp 18.08.2001 16:00 48.680 winnt.bmp 18.08.2001 16:00 48.680 winnt256.bmp 18.08.2001 16:00 26.680 F„cher.bmp 18.08.2001 16:00 34.818 wmprfDEU.prx 18.08.2001 16:00 16.730 Feder.bmp 18.08.2001 16:00 707 _default.pif 11.10.1618 03:57 3.120 MF_C420.lfa 11.10.1618 03:57 3.120 MF_C421.lfa 11.10.1618 03:57 3.120 MF_C425.lfa 101 Datei(en) 13.762.754 Bytes 0 Verzeichnis(se), 5.229.125.632 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\DOKUME~1\Stromi\LOKALE~1\Temp 30.06.2005 12:23 32.768 ~DFC0E8.tmp 30.06.2005 11:12 8.065 jusched.log 29.06.2005 16:52 32.130 44f0_appcompat.txt 29.06.2005 16:51 28.716 temp.fr262A 29.06.2005 16:51 3.072 temp.frEC0E 29.06.2005 16:36 14.848 1.exe 29.06.2005 15:00 2.663.231 ieoj.exe 29.06.2005 15:00 36.864 pbhj.exe 29.06.2005 14:56 798.234 IMT51.xml 29.06.2005 14:56 426 IMT50.xml 29.06.2005 14:56 2.036 IMT4F.xml 29.06.2005 14:56 5.816 java_install_reg.log 28.06.2005 12:33 10.538 control.xml 28.06.2005 11:30 798.234 IMT1F.xml 28.06.2005 11:30 426 IMT1E.xml 28.06.2005 11:30 2.036 IMT1D.xml 27.06.2005 21:44 0 ~E.tmp 27.06.2005 13:31 798.234 IMT56.xml 27.06.2005 13:31 426 IMT55.xml 27.06.2005 13:31 2.036 IMT54.xml 27.06.2005 08:48 0 CacheInfo.dnl 22.06.2005 20:38 798.234 IMT2F.xml 22.06.2005 20:38 426 IMT2E.xml 22.06.2005 20:38 2.036 IMT2D.xml 19.06.2005 14:40 917.504 MFPL7014.DLL 15.06.2005 21:40 73.276 ~e5.0001 10.06.2005 09:20 20.079 tmp63743zip 06.06.2005 15:37 32.768 ~DFC68A.tmp 02.06.2005 20:30 16.870 tmp7080zip 02.06.2005 12:04 77.895 tmp19425zip 31.05.2005 17:03 0 httpgf69.tmp 31.05.2005 15:50 1.789 Office XP Professional mit FrontPage Setup(0007).txt 31.05.2005 15:49 3.164 Office XP Professional mit FrontPage Setup(0006).txt 31.05.2005 15:49 145.316 Office XP Professional mit FrontPage Setup(0006)_Task(0001).txt 31.05.2005 15:48 1.789 Office XP Professional mit FrontPage Setup(0005).txt 31.05.2005 14:14 0 httpgf59.tmp 29.05.2005 22:41 3.319 pihp(0001).txt 29.05.2005 22:41 220.500 pihp(0001)_LibraryInstall.txt 29.05.2005 22:40 1.092.128 pihp(0001)_EditorInstall.txt 29.05.2005 22:35 1.789 Office XP Professional mit FrontPage Setup(0004).txt 29.05.2005 22:29 1.789 Office XP Professional mit FrontPage Setup(0003).txt 29.05.2005 02:32 14.049 tmp3807zip 29.05.2005 02:15 47.117 tmp51064zip 28.05.2005 21:33 373 jupdate1.5.0.xml 28.05.2005 21:21 2.456 Install Log - hp officejet v series.txt 28.05.2005 21:20 45 HPOUNI001.2005May28-212024.LOG 28.05.2005 20:33 23.552 java_install.log 28.05.2005 20:30 890 jinstall.cfg 28.05.2005 17:56 4.682 netfxupdate.log 28.05.2005 17:54 10.988 netfxsl.log 28.05.2005 17:54 7.734 ASPNETSetup.log 28.05.2005 17:38 1.163 langpackSetup.log 28.05.2005 17:38 2.319 dotNetFx.log 28.05.2005 17:11 3.422 Office XP Professional mit FrontPage Setup(0002).txt 28.05.2005 17:11 8.700.036 Office XP Professional mit FrontPage Setup(0002)_Task(0001).txt 28.05.2005 17:09 45.654 offcln10.log 28.05.2005 17:08 3.441 Office XP Professional mit FrontPage Setup(0001).txt 28.05.2005 17:08 757.876 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt 28.05.2005 17:05 798.234 IMT7.xml 28.05.2005 17:05 426 IMT6.xml 28.05.2005 17:05 2.036 IMT5.xml 20.10.2004 15:29 45.155 UNNMP.cfg 13.10.2004 13:28 2.277.376 UNNMP.exe 16.09.2004 12:55 55.753 NuNInst.cfg 09.09.2004 11:42 2.146.304 NuNInst.exe 02.09.2004 17:40 57.344 InstHelp.dll 22.08.2003 15:57 548.864 AutoRun.exe 01.08.2003 20:03 512.000 AutoRunGUI.dll 17.01.2003 22:29 4.389.765 _isB3.tmp 03.03.2001 03:24 3.428.864 2bcee.msi 70 Datei(en) 32.536.725 Bytes 0 Verzeichnis(se), 5.229.133.824 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\ 30.06.2005 14:36 0 sys.txt 30.06.2005 14:36 5.200 system.txt 30.06.2005 14:35 4.191 systemtemp.txt 30.06.2005 11:12 536.399.872 hiberfil.sys 30.06.2005 11:12 805.306.368 pagefile.sys 30.06.2005 10:47 211 boot.ini 28.05.2005 16:36 0 MSDOS.SYS 28.05.2005 16:36 0 IO.SYS 28.05.2005 16:36 0 CONFIG.SYS 28.05.2005 16:36 0 AUTOEXEC.BAT 03.08.2004 22:59 251.184 ntldr 03.08.2004 22:38 47.564 NTDETECT.COM 18.08.2001 16:00 4.952 bootfont.bin 13 Datei(en) 1.342.019.542 Bytes 0 Verzeichnis(se), 5.229.125.632 Bytes frei Files found with this application may be legitimate. Only remove files that you know are malware related. Checking the C:\WINDOWS folder Checking the C:\WINDOWS\SYSTEM32 folder C:\WINDOWS\SYSTEM32\msmsgs.exe: FSG! C:\WINDOWS\SYSTEM32\msole32.exe: FSG! C:\WINDOWS\SYSTEM32\ntdll.dll: .aspack C:\WINDOWS\SYSTEM32\ole32vbs.exe: FSG! C:\WINDOWS\SYSTEM32\shnlog.exe: FSG! Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder Checking the C:\Dokumente und Einstellungen\Stromi\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\Stromi\Application Data folder Microsoft Windows XP [Version 5.1.2600] PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidance If any doubt back them up first »»»»» lagitamate file's can/will show in this section. »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» Checking Windir\svcproc.exe and nail.exe. »»»»» Checking for System32\DrPMon.dll. »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS\SYSTEM32 »»»»» Checking for SAHAgent ico files. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS\system32 29.06.2005 14:59 2.238 Date.ico 29.06.2005 14:59 2.238 network.ico 29.06.2005 14:59 2.238 pharm.ico 29.06.2005 14:59 4.286 spam.ico 29.06.2005 14:59 766 spyware.ico 5 Datei(en) 11.766 Bytes 0 Verzeichnis(se), 5.228.331.008 Bytes frei »»»»»»»»»»»»»»»»»»»»»»»». "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Skype" = ""E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] "IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "paint.exe" = "shnlog.exe" [null data] "winlogon.exe" = "msole32.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "BDMCon" = "c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" ["SOFTWIN S.R.L."] "BDOESRV" = "C:\Programme\Softwin\BitDefender8\\bdoesrv.exe" [null data] "BDNewsAgent" = "c:\programme\softwin\bitdefender8\bdnagent.exe" [null data] "BDSwitchAgent" = "C:\Programme\Softwin\BitDefender8\\bdswitch.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "VMHomepage Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hp9171.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v8" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ INFECTION WARNING! "AppInit_DLLs" = "sockspy.dll" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ "FriendlyName" = "Security info v3" "Source" = "C:\WINDOWS\screen.html" "SubscribedURL" = "" Startup items in "Stromi" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader Speed Launch" -> shortcut to: "E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Microsoft Office" -> shortcut to: "E:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["Softwin"] BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data] BitDefender Virus Shield, VSSERV, "C:\Programme\Softwin\BitDefender8\vsserv.exe /service" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 42 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 44 seconds. ---------- (total run time: 158 seconds) Logfile of HijackThis v1.99.1 Scan saved at 15:00:14, on 30.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\system32\msole32.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\WINDOWS\system32\intmon.exe C:\Programme\Softwin\BitDefender8\bdswitch.exe E:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\system32\wscntfy.exe E:\Programme\Crazy Browser\Crazy Browser\Crazy Browser.exe E:\Programme\eMule.de\emule.exe C:\Programme\Softwin\BitDefender8\bdmcon.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\notepad.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\system32\Notepad.exe E:\Exedateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/page.asp?page=reg_success&lang=7&version=4001856&aff_id=1&addon=IncrediMail O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9171.tmp O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender8\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B305CE29-8C9C-407F-92AF-5623C559D3EB}: NameServer = 62.72.64.241 62.72.64.237 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) So, ich hoffe, ich habe das richtig gemacht und habe der Reihe nach alles gepostet. Hoffe, Du kannst mir weiterhelfen. |
|
|
|
|
|
|
30.06.2005, 16:03
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@
Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 50 Tage aus dem sich öffnenden Editor raus einzeln reinkopierendann öffnet sich der Editor) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit 1. Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere den Code rein: 3. Speichere die Datei als Rem.bat auf dem Desktop 4. Doppel klick auf diese Datei Rem.bat Zitat @ECHO OFF•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM32\Date.ico C:\WINDOWS\SYSTEM32\network.ico C:\WINDOWS\SYSTEM32\pharm.ico C:\WINDOWS\SYSTEM32\spam.ico C:\WINDOWS\SYSTEM32\spyware.ico PC neustarten #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/page.asp?page=reg_success〈=7&version=4001856&aff_id=1&addon=IncrediMail O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9171.tmp das wird als Spyware betrachtet, solltest du fixen und deinstallieren: O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm PC neustarten Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.07.2005, 10:57
Member
Themenstarter Beiträge: 54 |
#7
Hurra, super, danke.Ich hab´s hingekriegt.Hoffe, ich habe das Ding nu komplett wech:-).
Herzlichen Dank Dir nochmal Sabina für die schnelle Hilfe. Würd mich ja gerne revanchieren, aber ich glaube ich bin da wenig hilfreich, wenn es um PC-Probleme geht:-). Gruss J-L Ähh, jetze hab ich noch ein Prob.Habs gerade gesehen. Unten rechts erscheint nach kurzer Zeit, sobald ich online gegangen bin, ein gelbes Dreieck und sagt mir, das ich Spyware habe. Das hatte ich vorher auch und sobald ich das anklicke versucht der IE Verbindung aufzunehmen und eine Seite zu öffnen, da ich aber mit dem CrazyBrowser arbeite ist der IE nicht mein Standardbrowser und ich habe über Bitdefender jeden Zugriff verweigert. Kannste mir sagen, was das ist und wie ich das auch wieder weg bekomme??? Dieser Beitrag wurde am 01.07.2005 um 11:11 Uhr von Jean-Luc editiert.
|
|
|
|
|
|
|
01.07.2005, 12:05
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Jean-Luc
dafuer brauche ich Infos: Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus reinkopieren  dann öffnet sich der Editor)cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit L2mfix.--> nur den 1. Teil abarbeiten bitte http://virus-protect.org/L2mfix.html Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es öffnet sich der Editor-- und poste alles, was angezeigt wird. Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip *entpacken *gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml *Doppelklick (Ausführen)-- rkfiles.bat -- warten bis sich das DOS-Fenster schliesst --- poste C:\log.txt Pfind http://www.bleepingcomputer.com/files/pfind.php laden -- entpacken -- in C:\Pfind -- klicken pfind.bat nach dem Scan -- C:\pfind.txt -- kopieren/einfügen ------------------------ INFO: O4 - HKLM\..\Run: [PBHj] C:\documents and settings\user\local settings\temp\PBHj.exe O4 - HKLM\..\RunOnce: [ieoj.exe] C:\WINDOWS\system32\ieoj.exe C:\WINNT\ieoj.exe infected by "Trojan-Downloader.Win32.Agent.bq 29.06.2005 16:36 14.848 1.exe 29.06.2005 15:00 2.663.231 ieoj.exe 29.06.2005 15:00 36.864 pbhj.exe http://virus-protect.org/spyware3.html#Windows%20Security%20Center __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.07.2005, 14:48
Member
Themenstarter Beiträge: 54 |
#9
Hallo@sabina
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F001-1833 Verzeichnis von C:\WINDOWS\system32 01.07.2005 13:36 2.560 intmon.exe 01.07.2005 13:36 5.632 hhk.dll 01.07.2005 13:36 53.248 hp6A53.tmp 30.06.2005 11:04 380.350 perfh009.dat 30.06.2005 11:04 52.764 perfc009.dat 30.06.2005 11:04 391.000 perfh007.dat 30.06.2005 11:04 63.580 perfc007.dat 30.06.2005 11:04 897.954 PerfStringBackup.INI 30.06.2005 10:56 2.206 wpa.dbl 30.06.2005 10:56 200.144 FNTCACHE.DAT 30.06.2005 10:55 611 $winnt$.inf 30.06.2005 10:51 16.832 amcompat.tlb 30.06.2005 10:51 23.392 nscompat.tlb 30.06.2005 10:50 488 WindowsLogon.manifest 30.06.2005 10:50 488 logonui.exe.manifest 30.06.2005 10:50 749 sapi.cpl.manifest 30.06.2005 10:50 749 ncpa.cpl.manifest 30.06.2005 10:50 749 cdplayer.exe.manifest 30.06.2005 10:50 749 wuaucpl.cpl.manifest 30.06.2005 10:50 749 nwc.cpl.manifest 30.06.2005 10:48 23.504 emptyregdb.dat 29.06.2005 15:47 99.678 wp.bmp 29.06.2005 15:00 36.864 hookdump.exe 29.06.2005 14:59 7.269 msole32.exe 29.06.2005 14:59 34.409 shnlog.exe 27.06.2005 21:30 536.475 Mira.scr 27.06.2005 21:19 526.810 Moni.scr 28.05.2005 20:33 3.069 jupdate-1.5.0_02-b09.log 28.05.2005 17:30 0 h323log.txt 28.05.2005 16:36 2.951 CONFIG.NT 04.03.2005 03:36 127.078 javaws.exe 04.03.2005 03:36 49.265 jpicpl32.cpl 04.03.2005 02:07 49.250 javaw.exe 04.03.2005 02:06 49.248 java.exe 13.01.2005 21:41 126.976 zip.exe 13.01.2005 21:41 90.112 RegDACL.exe 13.01.2005 21:41 45.056 strings.exe 13.01.2005 21:41 53.248 Process.exe 13.01.2005 21:41 11.254 locate.com 13.01.2005 21:41 39.184 Ntrights.exe 13.01.2005 21:41 24.576 Reboot.exe C:\WINDOWS\system32\locate.com: WAUPX! C:\WINDOWS\system32\msole32.exe: FSG! C:\WINDOWS\system32\shnlog.exe: FSG! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\locate.com: WAUPX! C:\WINDOWS\system32\msole32.exe: FSG! C:\WINDOWS\system32\shnlog.exe: FSG! "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Skype" = ""E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "paint.exe" = "shnlog.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "BDMCon" = "c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" ["SOFTWIN S.R.L."] "BDOESRV" = "C:\Programme\Softwin\BitDefender8\\bdoesrv.exe" [null data] "BDNewsAgent" = "c:\programme\softwin\bitdefender8\bdnagent.exe" [null data] "BDSwitchAgent" = "C:\Programme\Softwin\BitDefender8\\bdswitch.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "VMHomepage Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hp6A53.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v8" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ INFECTION WARNING! "AppInit_DLLs" = "sockspy.dll" [null data] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ BitDefender Antivirus v8\(Default) = "{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "E:\WinRar\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Stromi" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader Speed Launch" -> shortcut to: "E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Microsoft Office" -> shortcut to: "E:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["Softwin"] BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data] BitDefender Virus Shield, VSSERV, "C:\Programme\Softwin\BitDefender8\vsserv.exe /service" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 13 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 24 seconds. ---------- (total run time: 69 seconds) Files found with this application may be legitimate. Only remove files that you know are malware related. Checking the C:\WINDOWS folder Checking the C:\WINDOWS\SYSTEM32 folder C:\WINDOWS\SYSTEM32\locate.com: WAUPX! C:\WINDOWS\SYSTEM32\msole32.exe: FSG! C:\WINDOWS\SYSTEM32\ntdll.dll: .aspack C:\WINDOWS\SYSTEM32\shnlog.exe: FSG! Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder Checking the C:\Dokumente und Einstellungen\Stromi\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\Stromi\Application Data folder C:\ PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\locate.com: WAUPX! C:\WINDOWS\system32\msole32.exe: FSG! C:\WINDOWS\system32\shnlog.exe: FSG! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\locate.com: WAUPX! C:\WINDOWS\system32\msole32.exe: FSG! C:\WINDOWS\system32\shnlog.exe: FSG! Files Found in all users windows Folder............ ------------------------ Finished bye Ich hoffe, das hilft weiter und ich hab´s richtig gemacht. Gruss J-L |
|
|
|
|
|
|
01.07.2005, 17:09
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Jean-Luc
CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Gehe in die registry Start-->Ausfuehren--> regedit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ loesche: "paint.exe" = "shnlog.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ loesche: {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM32\intmon.exe C:\WINDOWS\screen.html C:\WINDOWS\sites.ini C:\DOKUME~1\Stromi\LOKALE~1\Temp\ieoj.exe C:\DOKUME~1\Stromi\LOKALE~1\Temp\pbhj.exe C:\DOKUME~1\Stromi\LOKALE~1\Temp\tmp3807zip C:\DOKUME~1\Stromi\LOKALE~1\Temp\tmp51064zip C:\WINDOWS\SYSTEM32\hhk.dll C:\WINDOWS\SYSTEM32\hookdump.exe C:\WINDOWS\SYSTEM32\ntfsnlpa.exe C:\WINDOWS\System32\CISVVC.EXE C:\WINDOWS\SYSTEM32\rdsndin.exe C:\WINDOWS\SYSTEM32\msole32.exe C:\WINDOWS\SYSTEM32\shnlog.exe C:\WINDOWS\system32\hp6A53.tmp C:\WINDOWS\SYSTEM32\wp.bmp PC neustarten arbeite das bitte ab: http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2005, 12:08
Member
Themenstarter Beiträge: 54 |
#11
Zitat Gehe in die registryWenn ich regedit eingebe, öffnet sich ein fenster und dort erscheinen zig Ordner. Wie finde ich da die von dir angegebenen Dateien??? |
|
|
|
|
|
|
02.07.2005, 12:43
Ehrenmitglied
Beiträge: 29434 |
#12
HKLM\ (HEY_KEY_LOCAL_MACHINE)
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run\ mit rechtsklick loeschen (wenn es da ist) paint.exe" = "shnlog.exe" --------------------------------------------------------------- HKLM\ Software\ Microsoft\ Windows\CurrentVersion\ Explorer\ Browser Helper Objects\ loesche: {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2005, 14:50
Member
Themenstarter Beiträge: 54 |
#13
--------------------------------------------------
-------------------- INFECTED -------------------- -------------------------------------------------- 1: Sat Jul 02 14:05:14 2005 => File C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\1.exe infected by "Trojan.Win32.Dialer.jk" Virus! Action Taken: No Action Taken. 2: Sat Jul 02 14:05:26 2005 => File C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\temp.frEC0E infected by "Trojan.Win32.Puper.w" Virus! Action Taken: No Action Taken. 3: Sat Jul 02 14:07:28 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender8\Infected\*.* 4: Sat Jul 02 14:07:38 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP0\A0000002.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 5: Sat Jul 02 14:07:38 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP0\A0000003.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 6: Sat Jul 02 14:07:38 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000017.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 7: Sat Jul 02 14:07:38 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000018.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 8: Sat Jul 02 14:07:38 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000042.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 9: Sat Jul 02 14:07:38 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000043.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 10: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000055.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 11: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000056.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 12: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000059.exe infected by "Trojan-Downloader.Win32.Zlob.t" Virus! Action Taken: No Action Taken. 13: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000061.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken. 14: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000072.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 15: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000073.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 16: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000084.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 17: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000085.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 18: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000098.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 19: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000099.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 20: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000117.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 21: Sat Jul 02 14:07:39 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000118.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 22: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000129.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 23: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000130.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 24: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000138.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 25: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000139.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 26: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001142.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 27: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001143.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 28: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001160.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 29: Sat Jul 02 14:07:40 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001161.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 30: Sat Jul 02 14:07:41 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001182.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 31: Sat Jul 02 14:07:41 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001183.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 32: Sat Jul 02 14:07:41 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001204.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 33: Sat Jul 02 14:07:41 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001205.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 34: Sat Jul 02 14:07:41 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001214.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 35: Sat Jul 02 14:07:41 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001215.dll infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. 36: Sat Jul 02 14:07:41 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001216.exe infected by "Trojan.Win32.TopAntiSpyware.n" Virus! Action Taken: No Action Taken. 37: Sat Jul 02 14:07:42 2005 => File C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001218.exe infected by "Trojan.Win32.Puper.x" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- TAGGED --------------------- -------------------------------------------------- 1: Sat Jul 02 14:03:58 2005 => File C:\WINDOWS\system32\Process.exe tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken. 2: Sat Jul 02 14:17:47 2005 => File C:\WINDOWS\system32\Process.exe tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken. 3: Sat Jul 02 14:25:26 2005 => File E:\Exedateien\l2mfix.exe tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken. 4: Sat Jul 02 14:25:40 2005 => File E:\Exedateien\l2mfix\Process.exe tagged as not-a-virus:Tool.Win32.Processor.20. No Action Taken. -------------------------------------------------- --------------------- ERRORS --------------------- -------------------------------------------------- 1: Sat Jul 02 13:58:25 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead\NeroDigital\settings.xml". Action Taken: No Action Taken. 2: Sat Jul 02 13:58:32 2005 => Entry "HKCR\CLSID\{64F786EF-2927-42D4-B6BD-0536416153E5}" refers to invalid object "piwa.DLL". Action Taken: No Action Taken. 3: Sat Jul 02 13:58:40 2005 => Entry "HKCR\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}" refers to invalid object "C:\WINDOWS\system32\hpAF68.tmp". Action Taken: No Action Taken. 4: Sat Jul 02 13:58:43 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken. 5: Sat Jul 02 13:58:43 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken. 6: Sat Jul 02 13:58:53 2005 => Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken. 7: Sat Jul 02 13:58:54 2005 => Entry "HKCR\VMHomepage.1" refers to invalid object "{063801a4-61be-4289-a4d6-1242f9915e0f}". Action Taken: No Action Taken. -------------------------------------------------- -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT --------- -------------------------------------------------- 1: C:\WINDOWS\system32\Process.exe => tagged:Tool.Win32.Processor.20. 2: C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\1.exe => Trojan.Win32.Dialer.jk 3: C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\temp.frEC0E => Trojan.Win32.Puper.w 4: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP0\A0000002.exe => Trojan.Win32.Puper.x 5: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP0\A0000003.dll => Trojan.Win32.Puper.x 6: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000017.exe => Trojan.Win32.Puper.x 7: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000018.dll => Trojan.Win32.Puper.x 8: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000042.exe => Trojan.Win32.Puper.x 9: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000043.dll => Trojan.Win32.Puper.x 10: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000055.exe => Trojan.Win32.Puper.x 11: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000056.dll => Trojan.Win32.Puper.x 12: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000059.exe => Trojan-Downloader.Win32.Zlob.t 13: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000061.dll => Trojan.Win32.Agent.ff 14: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000072.exe => Trojan.Win32.Puper.x 15: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000073.dll => Trojan.Win32.Puper.x 16: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000084.exe => Trojan.Win32.Puper.x 17: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000085.dll => Trojan.Win32.Puper.x 18: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000098.exe => Trojan.Win32.Puper.x 19: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000099.dll => Trojan.Win32.Puper.x 20: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000117.exe => Trojan.Win32.Puper.x 21: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000118.dll => Trojan.Win32.Puper.x 22: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000129.exe => Trojan.Win32.Puper.x 23: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000130.dll => Trojan.Win32.Puper.x 24: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000138.exe => Trojan.Win32.Puper.x 25: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0000139.dll => Trojan.Win32.Puper.x 26: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001142.exe => Trojan.Win32.Puper.x 27: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001143.dll => Trojan.Win32.Puper.x 28: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001160.exe => Trojan.Win32.Puper.x 29: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP1\A0001161.dll => Trojan.Win32.Puper.x 30: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001182.exe => Trojan.Win32.Puper.x 31: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001183.dll => Trojan.Win32.Puper.x 32: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001204.exe => Trojan.Win32.Puper.x 33: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001205.dll => Trojan.Win32.Puper.x 34: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001214.exe => Trojan.Win32.Puper.x 35: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001215.dll => Trojan.Win32.Puper.x 36: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001216.exe => Trojan.Win32.TopAntiSpyware.n 37: C:\System Volume Information\_restore{C4001F30-3533-4830-B457-DE2DB1A75D44}\RP2\A0001218.exe => Trojan.Win32.Puper.x 38: E:\Exedateien\l2mfix.exe => tagged:Tool.Win32.Processor.20. 39: E:\Exedateien\l2mfix\Process.exe => tagged:Tool.Win32.Processor.20. -------------------------------------------------- -------------------- Statistik ------------------- -------------------------------------------------- Sat Jul 02 14:28:27 2005 => Total Objects Scanned: 43758 Sat Jul 02 14:28:27 2005 => Total Virus(es) Found: 41 Sat Jul 02 14:28:27 2005 => Total Errors: 7 Sat Jul 02 14:28:27 2005 => Virus Database Date: 2005/07/02 Sat Jul 02 14:28:27 2005 => Virus Database Count: 137443 Sat Jul 02 14:43:51 2005 => Total Objects Scanned: 43758 Sat Jul 02 14:43:51 2005 => Total Virus(es) Found: 41 Sat Jul 02 14:43:51 2005 => Total Errors: 7 Soll ich die alle löschen??? |
|
|
|
|
|
|
02.07.2005, 15:18
Ehrenmitglied
Beiträge: 29434 |
#14
Jean-Luc
l2mfix.exe (nicht loeschen  in der Registry loeschen: HKCR\ (HKEY_CURRENT_User) CLSID\ {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} HKCR\ VMHomepage.1 HKCR\ CLSID\ {64F786EF-2927-42D4-B6BD-0536416153E5} ------------------------------------------------------------------------------------ •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\1.exe C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\temp.frEC0E C:\Dokumente und Einstellungen\Stromi\Lokale Einstellungen\Temp\temp.fr262A nun starte den PC neu CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Deaktivieren Wiederherstellung (dann aktiviere sie wieder) «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann scanne noch mal mit escan) + berichte danach: lade: Ewido (scanne und poste mir den report) http://virus-protect.org/antivirenfree.html --------------------------------------------------------------------- 29.06.2005 16:51 28.716 temp.fr262A 29.06.2005 16:51 3.072 temp.frEC0E 29.06.2005 16:36 14.848 1.exe 29.06.2005 15:00 2.663.231 ieoj.exe 29.06.2005 15:00 36.864 pbhj.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2005, 16:11
...neu hier
Beiträge: 10 |
#15
@Sabina
Hier meldet sich der nächste Volldepp, der sich diesen Antivirus-Gold Sch*** eingefangen hat... Wäre super, wenn Du mir auch weiterhelfen würdest... Ich werde einfach mal alles von vorne an abarbeiten und dann posten... LG. Bernd OK... hier die "cmd" - Abfragen... Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F0FA-E4ED Verzeichnis von C:\WINDOWS\system32 02.07.2005 14:50 17.145 nvapps.xml 02.07.2005 13:30 99.678 wp.bmp 02.07.2005 13:30 7.168 intel32.exe 02.07.2005 13:30 36.352 svcnt.exe 02.07.2005 11:30 2.206 wpa.dbl 17.05.2005 15:24 3.069 jupdate-1.5.0_02-b09.log 14.05.2005 11:16 249.184 FNTCACHE.DAT 14.05.2005 11:10 380.350 perfh009.dat 14.05.2005 11:10 52.764 perfc009.dat 14.05.2005 11:10 391.000 perfh007.dat 14.05.2005 11:10 63.580 perfc007.dat 14.05.2005 11:10 872.024 PerfStringBackup.INI 07.05.2005 10:51 1.051.992 MRT.exe 22.04.2005 04:44 4.870 cehgo.log 11.04.2005 10:19 4.870 vdeif.dat 11.04.2005 09:58 3.567 gwisb.log 23.03.2005 20:13 88.576 mqsec.dll 23.03.2005 20:13 165.888 mqrt.dll 23.03.2005 20:13 529.408 mqutil.dll 23.03.2005 20:13 608.768 mqqm.dll 23.03.2005 20:13 14.848 mqise.dll 23.03.2005 20:13 130.048 mqad.dll 23.03.2005 20:13 44.032 mqdscli.dll 23.03.2005 20:13 44.544 mqupgrd.dll 12.03.2005 03:51 8.389.632 shell32.dll 12.03.2005 00:07 611.840 xpsp2res.dll 04.03.2005 03:36 127.078 javaws.exe 04.03.2005 03:36 49.265 jpicpl32.cpl 04.03.2005 02:07 49.250 javaw.exe 04.03.2005 02:06 49.248 java.exe 02.03.2005 20:21 278.016 winsrv.dll 02.03.2005 20:21 53.760 authz.dll 02.03.2005 20:21 562.688 user32.dll 02.03.2005 20:16 2.043.008 ntoskrnl.exe 02.03.2005 20:16 1.958.016 ntkrnlpa.exe 02.03.2005 20:15 1.797.248 win32k.sys 25.02.2005 13:58 100 LuResult.txt 24.02.2005 19:34 15.584 spmsg.dll 24.02.2005 14:02 132.096 MSRATING.DLL 24.02.2005 14:02 2.811.904 MSHTML.DLL 18.02.2005 17:35 597.504 wininet.dll 18.02.2005 17:35 20.480 oleadm.dll 18.02.2005 17:35 1.337.344 SHDOCVW.DLL 18.02.2005 17:35 236.032 IEPEERS.DLL 18.02.2005 17:35 1.017.856 BROWSEUI.DLL 14.01.2005 07:34 284.672 rpcss.dll 14.01.2005 07:34 68.608 olecli32.dll 14.01.2005 07:34 1.259.008 ole32.dll 14.01.2005 07:34 35.328 olecnv32.dll 11.12.2004 14:25 3.243 jupdate-1.4.2_06-b03.log 07.12.2004 21:34 79.872 srvsvc.dll 07.12.2004 19:16 496.640 URLMON.DLL Next: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F0FA-E4ED Verzeichnis von C:\DOKUME~1\BERNDF~1\LOKALE~1\Temp 02.07.2005 14:50 50.828 jusched.log 02.07.2005 14:17 16.384 ~DFD511.tmp 02.07.2005 14:17 16.384 ~DFAE2C.tmp 02.07.2005 13:31 2.663.231 nhak.exe 02.07.2005 13:30 36.864 igjj.exe 02.07.2005 13:30 207 1.exe 02.07.2005 13:30 13.720 java_install_reg.log 02.07.2005 13:05 717 control.xml 02.07.2005 11:31 16.384 ~DF847F.tmp 02.07.2005 11:31 16.384 ~DF7435.tmp 01.07.2005 21:47 16.384 ~DF50D7.tmp 01.07.2005 21:47 16.384 ~DF4A41.tmp 01.07.2005 19:03 612.201 VGX41.tmp 01.07.2005 15:17 0 ~DF1E.tmp 30.06.2005 14:04 16.384 ~DF8E2A.tmp 30.06.2005 14:04 16.384 ~DF7FBC.tmp 29.06.2005 20:49 16.384 ~DFB0FC.tmp 29.06.2005 20:49 16.384 ~DF9989.tmp 29.06.2005 14:08 16.384 ~DF8D61.tmp 29.06.2005 14:08 16.384 ~DF7499.tmp 29.06.2005 13:33 0 ~WRS1702.tmp 29.06.2005 13:33 114.688 ~WRF1502.tmp 29.06.2005 10:20 16.384 ~DFBEB1.tmp 29.06.2005 10:20 16.384 ~DFB955.tmp 28.06.2005 10:44 697 TWAIN.LOG 28.06.2005 10:44 156 Twunk001.MTX 28.06.2005 10:44 4 Twain001.Mtx 28.06.2005 10:22 16.384 ~DFAED0.tmp 28.06.2005 10:22 16.384 ~DFA065.tmp 27.06.2005 19:49 86.574 ~WRS3083.tmp 27.06.2005 17:58 114.688 ~WRF3655.tmp 27.06.2005 10:32 16.384 ~DF875D.tmp 27.06.2005 10:32 16.384 ~DF81D0.tmp 26.06.2005 16:04 16.384 ~DF9CC2.tmp 26.06.2005 16:04 16.384 ~DF7611.tmp 26.06.2005 13:51 16.384 ~DF9549.tmp 26.06.2005 13:51 16.384 ~DF80C5.tmp 25.06.2005 16:42 16.384 ~DFB886.tmp 25.06.2005 16:42 16.384 ~DFB874.tmp 25.06.2005 16:42 16.384 ~DFB850.tmp 25.06.2005 16:42 16.384 ~DFB862.tmp 25.06.2005 16:41 16.384 ~DFA476.tmp 25.06.2005 16:41 16.384 ~DF9DEA.tmp 24.06.2005 10:11 16.384 ~DF84A0.tmp 24.06.2005 10:11 16.384 ~DF7286.tmp 23.06.2005 21:15 16.384 ~DF8F77.tmp 23.06.2005 21:14 16.384 ~DF78D0.tmp 23.06.2005 10:16 16.384 ~DF9ADF.tmp 23.06.2005 10:15 16.384 ~DF8DB4.tmp 22.06.2005 14:58 251.400 VGXA.tmp 22.06.2005 09:59 16.384 ~DF994A.tmp 22.06.2005 09:59 16.384 ~DF75D6.tmp 21.06.2005 13:42 16.384 ~DF8C64.tmp 21.06.2005 13:42 16.384 ~DF71D2.tmp 21.06.2005 10:49 16.384 ~DFAD04.tmp 21.06.2005 10:49 16.384 ~DF9C8C.tmp 20.06.2005 18:57 468 PrePict.htm 20.06.2005 15:24 16.384 ~DF5D97.tmp 20.06.2005 15:24 16.384 ~DF56DF.tmp 18.06.2005 17:19 0 h2r37.tmp 18.06.2005 17:19 183 r2h36.tmp 18.06.2005 11:15 16.384 ~DF8968.tmp 18.06.2005 11:15 16.384 ~DF7862.tmp 18.06.2005 00:33 16.384 ~DFA89D.tmp 18.06.2005 00:33 16.384 ~DF9008.tmp 17.06.2005 18:21 16.384 ~DF94C5.tmp 17.06.2005 18:21 16.384 ~DF94A1.tmp 17.06.2005 18:21 16.384 ~DF94B3.tmp 17.06.2005 18:21 16.384 ~DF948F.tmp 17.06.2005 09:10 16.384 ~DF903D.tmp 17.06.2005 09:10 16.384 ~DF7FC2.tmp 16.06.2005 14:58 0 h2r30.tmp 16.06.2005 14:58 2.112 r2h2F.tmp 16.06.2005 09:42 16.384 ~DF8967.tmp 16.06.2005 09:42 16.384 ~DF77AF.tmp Next: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F0FA-E4ED Verzeichnis von C:\WINDOWS 02.07.2005 15:53 760 Tobit.ini 02.07.2005 14:55 378.697 WindowsUpdate.log 02.07.2005 14:50 0 0.log 02.07.2005 14:50 2.048 bootstat.dat 02.07.2005 14:48 32.548 SchedLgU.Txt 02.07.2005 14:16 1.522 screen.html 02.07.2005 13:05 136.272 wmsetup.log 02.07.2005 12:22 462 BRWMARK.INI 02.07.2005 12:22 26 BRPP2KA.INI 28.06.2005 18:04 411 wiadebug.log 28.06.2005 10:44 50 wiaservc.log 23.06.2005 10:11 817.100 setupapi.log 31.05.2005 10:30 1.249 IE4 Error Log.txt 27.05.2005 16:16 63.531 dasetup.log 27.05.2005 16:16 4.161 ODBCINST.INI 27.05.2005 16:12 477 ODBC.INI 17.05.2005 12:14 369.978 ntbtlog.txt 17.05.2005 11:27 45 FFGHLOIL.ini 14.05.2005 11:14 2.900 COM+.log 14.05.2005 11:13 306.978 iis6.log 14.05.2005 11:13 99.968 tsoc.log 14.05.2005 11:13 1.374 imsins.log 14.05.2005 11:13 9.175 tabletoc.log 14.05.2005 11:13 73.568 comsetup.log 14.05.2005 11:13 43.816 ntdtcsetup.log 14.05.2005 11:13 24.395 KB885835.log 14.05.2005 11:13 7.852 ocmsn.log 14.05.2005 11:13 32.793 netfxocm.log 14.05.2005 11:13 10.448 msgsocm.log 14.05.2005 11:13 121.196 ocgen.log 14.05.2005 11:13 194.364 FaxSetup.log 14.05.2005 11:13 78.516 msmqinst.log 14.05.2005 11:13 1.374 imsins.BAK 14.05.2005 11:13 24.179 KB890859.log 14.05.2005 11:13 4.072 updspapi.log 14.05.2005 11:13 11.862 KB890923-IE6SP1-20050225.103456.log 14.05.2005 11:12 16.372 KB893066.log 14.05.2005 11:12 13.873 KB892944.log 14.05.2005 11:12 16.730 KB893086.log 14.05.2005 11:12 15.191 KB873333.log 14.05.2005 11:11 12.596 KB888113.log 14.05.2005 11:11 12.577 KB891781.log 14.05.2005 11:11 12.634 KB888302.log 14.05.2005 11:11 12.179 KB890175.log 14.05.2005 11:11 12.297 KB885836.log 14.05.2005 11:11 12.227 KB873339.log 13.05.2005 14:20 178.335 setupact.log 02.05.2005 14:01 239 TOBITADD.INI 21.04.2005 11:40 788 cdplayer.ini 21.04.2005 11:19 3.567 nfkyk.txt 17.04.2005 02:18 707 _default.pif 25.02.2005 14:05 13.323 LUINSTALL.LOG 18.02.2005 14:42 679 win.ini 07.02.2005 01:59 227 system.ini 06.02.2005 21:53 7.904 SYMEVENT.LOG 05.01.2005 14:07 25 mixerdef.ini 03.12.2004 15:00 61.688 spupdsvc.log 03.12.2004 14:59 316.640 WMSysPr9.prx 03.12.2004 14:56 341.480 spuninst.log 03.12.2004 14:47 445 cmsetacl.log 03.12.2004 14:47 485 DtcInstall.log 03.12.2004 14:47 5.805 medctroc.Log 03.12.2004 12:07 7.597 KB834707.log 02.12.2004 19:28 379 wmsetup10.log 02.12.2004 19:25 1.510 OEWABLog.txt 02.12.2004 19:25 710.136 setuplog.txt 02.12.2004 19:22 612.449 svcpack.log 02.12.2004 19:18 1.330 sessmgr.setup.log 02.12.2004 18:22 19.942 KB889293-IE6SP1-20041111.235619.log 02.12.2004 18:21 21.271 KB873376.log Und nummer vier: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F0FA-E4ED Verzeichnis von C:\ 02.07.2005 16:20 0 sys.txt 02.07.2005 16:19 7.549 system.txt 02.07.2005 16:19 32.866 systemtemp.txt 02.07.2005 16:15 98.726 system32.txt 02.07.2005 15:16 770 pfind.txt 02.07.2005 14:50 267.964.416 hiberfil.sys 02.07.2005 14:49 401.842.176 pagefile.sys 09.05.2005 15:05 0 23990098.$$$ 09.05.2005 15:05 6 AVPCallback.log 01.03.2005 13:49 13.030 PDOXUSRS.NET 07.02.2005 01:59 211 boot.ini 03.12.2004 14:48 235.296 ntldr 03.12.2004 14:48 47.580 NTDETECT.COM 30.12.2001 21:54 0 MSDOS.SYS 30.12.2001 21:54 0 CONFIG.SYS 30.12.2001 21:54 0 IO.SYS 30.12.2001 21:54 0 AUTOEXEC.BAT 31.08.2001 12:27 4.952 bootfont.bin 18 Datei(en) 670.247.578 Bytes 0 Verzeichnis(se), 8.813.228.032 Bytes frei PFING.TXT Files found with this application may be legitimate. Only remove files that you know are malware related. Checking the C:\WINDOWS folder Checking the C:\WINDOWS\SYSTEM32 folder C:\WINDOWS\SYSTEM32\DivX.dll: PEC2 C:\WINDOWS\SYSTEM32\DivX.dll: PECompact2 Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder Checking the C:\Dokumente und Einstellungen\Bernd Fillauer\Start Menu\programs\Startup\ folder Checking the C:\Dokumente und Einstellungen\Bernd Fillauer\Application Data folder Hier kommt der "Find its" Scan... Microsoft Windows XP [Version 5.1.2600] PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidance If any doubt back them up first »»»»» lagitamate file's can/will show in this section. »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» Checking Windir\svcproc.exe and nail.exe. »»»»» Checking for System32\DrPMon.dll. »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F0FA-E4ED Verzeichnis von C:\WINDOWS\SYSTEM32 »»»»» Checking for SAHAgent ico files. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F0FA-E4ED Verzeichnis von C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»». Silentrunners lässt sich nicht starten... Es öffnet sich ein Warnfenster mit folgendem Text: Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Sie sich an Ihren Administrator, um weitere Details in Erfahrung zu bringe. Und nun noch den HIJACK Scan: Logfile of HijackThis v1.99.1 Scan saved at 16:50:35, on 02.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\intel32.exe C:\WINDOWS\system32\svcnt.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\PROGRA~1\TOBITI~1\DVREMIND.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\SYSTEM32\notepad.exe C:\WINDOWS\SYSTEM32\notepad.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\system32\ntvdm.exe C:\Dokumente und Einstellungen\Bernd Fillauer\Desktop\HiJack\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sal-4u.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [yhxayyi] C:\WINDOWS\System32\yhxayyi.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: http://www.neededware.com O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03d7b59f97f860ac8d20/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102003427886 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Bitte um HILFE... Dieser Beitrag wurde am 02.07.2005 um 16:49 Uhr von Filli editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Habe verschiedene Virensoftware ausprobiert, aber bekomme den Virus auch nicht runter.
Da ich von Hijackthis und anderen Programmen nicht so die Ahnung habe, bitte ich Euch, wenn Ihr mir helfen könnt, detailgenau zu beschreiben, was ich tun muss um das weg zu bekommen, da ich nicht so der PC-Crack bin.
Ich bedanke mich im voraus für Eure Hilfe und werde alles tun, damit ich nicht wieder neu formatieren muss:-(
Gruss J-L