antivirus gold + ms32.exe |
||
|---|---|---|
| #0
| ||
|
04.07.2005, 18:07
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
04.07.2005, 18:34
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@andibini
Silentrunners http://virus-protect.org/silentrunner.html klicke: output file is in text format. -- Doppelklick und es öffnet sich der Editor-- und poste alles, was angezeigt wird. HijackThis: http://www.downloads.subratam.org/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einen Ordner *None of the above just start the program *Save *Savelog *es öffnet sich der Editor oder: *Do a system scan and save a logfile *Save *Savelog *es öffnet sich der Editor *nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" ---------------------------- KillBox http://www.bleepingcomputer.com/files/killbox.php http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot (anhaken) C:\ms32.exe C:\ms32.exe.js C:\WINDOWS\screen.html C:\DOKUME~1\pc\LOKALE~1\Temp\bjjb.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" #"you want to reboot" auf "yes" gehen dann kommt eventuell die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process", in diesem Fall muss man selbst den PC booten. --------------------------------------------------------------- INFO: O4 - HKLM\..\Run: [Compaq32 Service Drivers] ms32.exe ????????????????????????????????????????? C:\WINDOWS\SYSTEM32\Drivers\mrk.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.07.2005, 18:56
...neu hier
Themenstarter Beiträge: 7 |
#3
hey sabina du bist ja schnell.
Hier erstmal rk files run: C:\Dokumente und Einstellungen\pc\Desktop\rkfiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished bye silentrunner:::: "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ "FriendlyName" = "Security info v3" "Source" = "C:\WINDOWS\screen.html" "SubscribedURL" = "" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS] Startup items in "pc" & "All Users" startup folders: ---------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {6224F700-CBA3-4071-B251-47CB894244CD}\ "ButtonText" = "ICQ Pro" "MenuText" = "ICQ" "Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://GLOBAL.ACER.COM/ Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 4 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 9 seconds. ---------- (total run time: 32 seconds) hijack this:::: Logfile of HijackThis v1.99.1 Scan saved at 18:53:57, on 04.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\pc\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O13 - DefaultPrefix: O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe Alle Logs sind vor dem löschen mit killbox entstanden. So das wars erstmal. Wär schön wenn Du mir helfen kannst Sabina. Grüsse andi Dieser Beitrag wurde am 04.07.2005 um 19:12 Uhr von andibini editiert.
|
|
|
|
|
|
|
04.07.2005, 19:31
Ehrenmitglied
Beiträge: 29434 |
#4
Gehe in die Registry
Start-->Ausfuehren--> regedit HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\ <--in 0 aendern loeschen: "FriendlyName" = "Security info v3" "Source" = "C:\WINDOWS\screen.html" "SubscribedURL" = "" HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold ------------------------------------------------------------------ KillBox http://www.bleepingcomputer.com/files/killbox.php http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot (anhaken) C:\ms32.exe C:\ms32.exe.js C:\WINDOWS\screen.html C:\DOKUME~1\pc\LOKALE~1\Temp\bjjb.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" #"you want to reboot" auf "yes" gehen dann kommt eventuell die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process", in diesem Fall muss man selbst den PC booten. ------------ C:\WINDOWS\SYSTEM32\Drivers\mrk.exe <--rechtsklick--> Eigenschaften--> berichte, bitte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.07.2005, 20:41
...neu hier
Themenstarter Beiträge: 7 |
#5
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\ <--in 0 aendern
geht nicht, da null schon vorhanden. ------------------------------------------------------------------------ C:\ms32.exe C:\ms32.exe.js C:\WINDOWS\screen.html C:\DOKUME~1\pc\LOKALE~1\Temp\bjjb.exe sind gelöscht ________________________________________________________________ HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold war schon gelöscht. _________________________________________________________________ :\WINDOWS\SYSTEM32\Drivers\mrk.exe <--rechtsklick--> Eigenschaften--> hab da mehrere Ordnerkarten(allgemein/programm/schriftart/speicher/bildschirm/sonstiges). was brauchst du daraus?? aktueller stand: schwarzer hintergrund ist weg, ebenso der schriftzug. jedoch bekomm ich keinen windows standardhintergrund. Liebe grüsse und danke vorab andi |
|
|
|
|
|
|
04.07.2005, 22:01
Ehrenmitglied
Beiträge: 29434 |
#6
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. und sofort wieder in den normalmodus starten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.07.2005, 23:24
...neu hier
Themenstarter Beiträge: 7 |
#7
Alles durchgeführt.
Screen lässt sich in dem Bereich in dem er vorher schwarz war nicht verändern und ist mal weiss, mal hellgrün. Wenn ich unter Systemsteuerung/Anzeige die Auflösung verändere, ist der eingestellte Hintergrund als Rahmen um den weissen/hellgrünen rechts und unten im Bildschirm zu sehen. Hier nochmal nen aktueller log: Logfile of HijackThis v1.99.1 Scan saved at 23:22:16, on 04.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\pc\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O13 - DefaultPrefix: O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe Grüsse aus dem Tecklenburger Land :-) andi |
|
|
|
|
|
|
05.07.2005, 08:58
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@
ich glaube nicht, dass du meine reg-Datei korrekt angewendet hast, denn dann sollte der Hintergrund hellblau sein. Die Startseiten usw. haben sich ebenfalls nicht veraendert. du solltest also die regdatei korrekt anwenden oder selbst in die Registry gehen und die Werte umstellen. am besten: poste mir noch mal ein Log vom Silentrunner + die 4 DOS-Logs (aber diesmal zeitlich noch weiter zurueck) du hattest einen Wurm/Backdoor auf dem PC und ich weiss nicht, was er alles so verstellt hat (neben dem Antiv.Gold)....... ------------- P.S.: ab morgen bin ich in Urlaub  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.07.2005, 09:59
...neu hier
Themenstarter Beiträge: 7 |
#9
Silentrunner
____________________________________________________________- "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ "FriendlyName" = "Security info v3" "Source" = "C:\WINDOWS\screen.html" "SubscribedURL" = "" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "pc" & "All Users" startup folders: ---------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {6224F700-CBA3-4071-B251-47CB894244CD}\ "ButtonText" = "ICQ Pro" "MenuText" = "ICQ" "Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://GLOBAL.ACER.COM/ Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 4 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 10 seconds. ---------- (total run time: 31 seconds) ____________________________________________________________- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\WINDOWS\system32 28.06.2005 19:53 1.158 wpa.dbl 27.03.2005 12:47 165.120 FNTCACHE.DAT 10.08.2004 00:48 12.067 SIntf16.dll 10.08.2004 00:48 17.212 SIntf32.dll 10.08.2004 00:48 21.840 SIntfNT.dll 09.08.2004 15:41 723.568 PerfStringBackup.INI 09.08.2004 15:41 316.594 perfh007.dat 09.08.2004 15:41 48.156 perfc007.dat 09.08.2004 15:41 39.992 perfc009.dat 09.08.2004 15:41 311.604 perfh009.dat 09.08.2004 15:21 1.875 AUTOEXEC.NT 07.07.2004 18:58 593.408 WININET.DLL 07.07.2004 18:58 486.400 URLMON.DLL 07.07.2004 18:58 395.264 SHLWAPI.DLL 07.07.2004 18:58 1.339.904 SHDOCVW.DLL 07.07.2004 18:58 2.803.712 MSHTML.DLL 07.07.2004 18:58 1.026.048 BROWSEUI.DLL 02.07.2004 00:08 360.448 qmgr.dll 02.07.2004 00:08 7.680 bitsprx2.dll 02.07.2004 00:08 17.408 qmgrprxy.dll 02.07.2004 00:08 331.776 winhttp.dll 02.07.2004 00:08 7.168 bitsprx3.dll 30.06.2004 17:00 183.808 xpob2res.dll 23.06.2004 02:42 123.392 itss.dll 10.06.2004 21:50 8.391.680 shell32.dll 09.06.2004 00:00 173.568 schedsvc.dll 09.06.2004 00:00 306.688 netapi32.dll 09.06.2004 00:00 265.216 mstask.dll 08.06.2004 23:50 10.752 mstinit.exe 07.06.2004 16:14 228.864 MSOEACCT.DLL 07.06.2004 16:14 44.032 MSIDENT.DLL 07.06.2004 16:14 50.688 INETRES.DLL 07.06.2004 14:19 596.480 INETCOMM.DLL 18.05.2004 05:47 609.792 xpsp2res.dll 22.04.2004 17:20 333 $ncsp$.inf 22.04.2004 16:11 3.091 jupdate-1.4.2_01-b06.log 22.04.2004 16:10 1.024 NTICDMK32.dll 22.04.2004 16:07 25.065 wmpscheme.xml 22.04.2004 16:02 23.392 nscompat.tlb 22.04.2004 16:02 2.951 CONFIG.NT 22.04.2004 16:02 16.832 amcompat.tlb 22.04.2004 16:02 488 WindowsLogon.manifest 22.04.2004 16:02 488 logonui.exe.manifest 22.04.2004 16:01 749 sapi.cpl.manifest 22.04.2004 16:01 749 nwc.cpl.manifest 22.04.2004 16:01 749 ncpa.cpl.manifest 22.04.2004 16:01 749 wuaucpl.cpl.manifest 22.04.2004 16:01 749 cdplayer.exe.manifest 22.04.2004 16:01 21.740 emptyregdb.dat 22.04.2004 15:59 0 h323log.txt 17.04.2004 02:56 83.456 fldrclnr.dll 17.04.2004 02:56 679.424 sxs.dll 17.04.2004 02:01 614.429 mswstr10.dll 17.04.2004 02:01 180.253 msjint40.dll 14.04.2004 14:56 219.648 dplayx.dll 12.04.2004 23:11 76.800 dpwsockx.dll 11.04.2004 03:35 380.957 expsrv.dll 11.04.2004 03:35 831.519 mswdat10.dll 11.04.2004 03:35 315.423 msrd3x40.dll 11.04.2004 03:35 421.919 msrd2x40.dll 11.04.2004 03:35 213.023 msltus40.dll 11.04.2004 03:35 53.279 msjter40.dll 10.04.2004 12:24 26.112 xpsp1hfm.exe __________________________________________________________ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\DOKUME~1\pc\LOKALE~1\Temp _____________________________________________________________- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\WINDOWS 05.07.2005 15:19 0 0.log 05.07.2005 15:19 159 wiadebug.log 05.07.2005 15:19 2.048 bootstat.dat 05.07.2005 15:18 50 wiaservc.log 05.07.2005 15:18 32.630 SchedLgU.Txt 04.07.2005 20:31 439 system.ini 04.07.2005 16:01 770 win.ini 08.06.2005 02:13 427.520 WRServices.dll 17.03.2005 17:20 316.640 WMSysPr9.prx 06.03.2005 09:28 137 uno.ini 19.02.2005 23:11 26 hosts 19.02.2005 22:53 66 iefav.ini ___________________________________________________________- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\ 05.07.2005 15:27 0 sys.txt 05.07.2005 15:26 4.145 system.txt 05.07.2005 15:26 130 systemtemp.txt 05.07.2005 15:25 89.704 system32.txt 05.07.2005 15:19 536.399.872 hiberfil.sys 05.07.2005 15:19 402.653.184 PAGEFILE.SYS 04.07.2005 18:43 707 log.txt 04.07.2005 18:42 216 win.txt 04.07.2005 18:42 0 windows.txt 04.07.2005 18:38 0 start.txt 04.07.2005 18:05 682 pfind.txt 22.04.2004 17:20 0 ACER_WWS.LOG 22.04.2004 16:02 0 CONFIG.SYS 22.04.2004 16:02 0 AUTOEXEC.BAT 22.04.2004 16:02 0 IO.SYS 22.04.2004 16:02 0 MSDOS.SYS 22.04.2004 15:48 512 BOOTSECT.DOS ___________________________________________________________- Vielen Dank für deine Hilfe im Voraus. Hoffentlich bist Du noch nicht im Packstress für deinen Urlaub :-) Grüsse Dieser Beitrag wurde am 05.07.2005 um 15:28 Uhr von andibini editiert.
|
|
|
|
|
|
|
05.07.2005, 16:56
Ehrenmitglied
Beiträge: 29434 |
#10
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3" "Source" = "C:\WINDOWS\screen.html" "SubscribedURL" = "" ist noch da...also hast du die Reg-Datei nicht richtig angewendet..... das muss alles geloescht werden Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Die Datei "fix.reg" auf dem Desktop doppelklicken.--> und bestaetigen, dass sie der Registry beigefuegt wird dann scanne noch mal mit Silentrunner -------------- und arbeite das hier ab: http://virus-protect.org/escan.html ----------------------------------------------------------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.07.2005, 19:41
...neu hier
Themenstarter Beiträge: 7 |
#11
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3" "Source" = "C:\WINDOWS\screen.html" "SubscribedURL" = "" ist noch da...also hast du die Reg-Datei nicht richtig angewendet..... das muss alles geloescht werden wie oder womit sabina?? ______________________________________________________________ Silentrunner nach fix.reg ____________________________________________________________ "Silent Runners.vbs", revision 39, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "pc" & "All Users" startup folders: ---------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {6224F700-CBA3-4071-B251-47CB894244CD}\ "ButtonText" = "ICQ Pro" "MenuText" = "ICQ" "Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://GLOBAL.ACER.COM/ Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 10 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 9 seconds. ---------- (total run time: 42 seconds) __________________________________________________________- arbeite grade den rest ab. andi |
|
|
|
|
|
|
05.07.2005, 20:18
Ehrenmitglied
Beiträge: 29434 |
#12
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = "Security info v3" "Source" = "C:\WINDOWS\screen.html" "SubscribedURL" = "" wird mit der reg-Datei aus der Registry geloescht....scheint nun o.k. zu sein im Silentrunner ist nichts mehr davon zu sehen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.07.2005, 20:27
...neu hier
Themenstarter Beiträge: 7 |
#13
Hier der LOG von e-scan
Der Monitor ist nach Fix.reg und Neustart im wunderschonen Windowsblau :-) __________________________________________________________________ -------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: Tue Jul 05 20:01:50 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. 2: Tue Jul 05 20:16:09 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* 3: Tue Jul 05 20:16:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\EXPLOIT[1].HTM.VIR [**] 4: Tue Jul 05 20:20:02 2005 => File C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0041920.EXE infected by "not-virus:Hoax.Win32.Avgold.b" Virus! Action Taken: No Action Taken. 5: Tue Jul 05 20:20:05 2005 => File C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0042048.exe infected by "Trojan-Downloader.Win32.Small.bau" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- ERRORS --------------------- -------------------------------------------------- 1: Tue Jul 05 20:01:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Textconv\MSWRD832.CNV". Action Taken: No Action Taken. 2: Tue Jul 05 20:02:06 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken. 3: Tue Jul 05 20:02:07 2005 => Entry "HKCR\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}" refers to invalid object "C:\DOKUME~1\pc\LOKALE~1\Temp\CMDLIN~1.DLL". Action Taken: No Action Taken. 4: Tue Jul 05 20:02:07 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken. 5: Tue Jul 05 20:02:09 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken. -------------------------------------------------- -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT --------- -------------------------------------------------- 1: C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0041920.EXE => not-virus:Hoax.Win32.Avgold.b 2: C:\System Volume Information\_restore{764788CA-A234-4023-BB05-CDD67B9A2AB9}\RP53\A0042048.exe => Trojan-Downloader.Win32.Small.bau -------------------------------------------------- -------------------- Statistik ------------------- -------------------------------------------------- Tue Jul 05 20:20:39 2005 => Total Objects Scanned: 37961 Tue Jul 05 20:20:39 2005 => Total Virus(es) Found: 4 Tue Jul 05 20:20:39 2005 => Total Errors: 5 Tue Jul 05 20:20:39 2005 => Virus Database Date: 2005/07/05 Tue Jul 05 20:20:39 2005 => Virus Database Count: 138139 Tue Jul 05 20:20:47 2005 => Total Objects Scanned: 37961 Tue Jul 05 20:20:47 2005 => Total Virus(es) Found: 4 Tue Jul 05 20:20:47 2005 => Total Errors: 5 _______________________________________________________ soll ich noch was machen sabina? Grüsse andi |
|
|
|
|
|
|
05.07.2005, 22:19
Ehrenmitglied
Beiträge: 29434 |
#14
nein, es ist alles o.k.
Da kann ich ja beruhigt in die Ferien gehen Alles Gute fuer dich + PC und schau dich ein bisschen auf meiner HP um (eingeschraenktes Benutzerkonto...WindowsUpdates...SP2... ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.07.2005, 21:22
...neu hier
Beiträge: 2 |
#15
HILFE BIDDE!!!!!
Seruvs ihr lieben leute. Hab auch das gleiche problem seit heute morgen.Das was hier beschrieben wird hab ich auch mal versucht,aber leider ohne erfolg.Gibt es dafür nicht irgent ein Tool womit man dieses Schei... Antivirus Gold von Rechner bekommt???? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Den screen bekomme ich trotz einiger scans mittels virenscannern nicht weg.
Ich hab folgende Einträge:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF
Verzeichnis von C:\WINDOWS\system32
28.06.2005 19:53 1.158 wpa.dbl
27.03.2005 12:47 165.120 FNTCACHE.DAT
Verzeichnis von C:\DOKUME~1\pc\LOKALE~1\Temp
03.07.2005 21:41 4.592 SIntfIcn.ani
03.07.2005 21:41 17.324 SIntf32.dll
03.07.2005 21:41 40.448 CmdLineExt03.dll
03.07.2005 21:41 22.068 SIntfNT.dll
03.07.2005 21:41 12.305 SIntf16.dll
02.07.2005 01:48 16.384 ~DFB0AC.tmp
02.07.2005 01:48 2.613 kb.log
29.06.2005 16:24 185.220 jusched.log
28.06.2005 19:54 29.863 AGLanguage.ini
26.06.2005 02:46 36.864 bjjb.exe
25.06.2005 23:54 58 E758E1CB.TMP
07.06.2005 11:34 45.096 _VWUPSRV.EXE
erzeichnis von C:\WINDOWS
04.07.2005 17:50 0 0.log
04.07.2005 17:49 159 wiadebug.log
04.07.2005 17:49 2.048 bootstat.dat
04.07.2005 16:43 32.630 SchedLgU.Txt
04.07.2005 16:43 50 wiaservc.log
04.07.2005 16:01 770 win.ini
03.07.2005 09:21 1.032.082 setupapi.log
02.07.2005 01:23 1.522 screen.html
02.07.2005 01:09 225.102 ntbtlog.txt
08.06.2005 02:13 427.520 WRServices.dll
Verzeichnis von C:\
04.07.2005 17:58 0 sys.txt
04.07.2005 17:57 6.516 system.txt
04.07.2005 17:56 3.899 systemtemp.txt
04.07.2005 17:54 89.704 system32.txt
04.07.2005 17:49 536.399.872 hiberfil.sys
04.07.2005 17:49 402.653.184 PAGEFILE.SYS
26.06.2005 02:46 186 ms32.exe.js
26.06.2005 02:46 7.292 ms32.exe
p-find . txt:
Files found with this application may be legitimate.
Only remove files that you know are malware related.
Checking the C:\WINDOWS folder
Checking the C:\WINDOWS\SYSTEM32 folder
Checking all directories under the C:\WINDOWS\SYSTEM32\drivers folder
C:\WINDOWS\SYSTEM32\Drivers\mrk.exe: UPX!
Checking the C:\Dokumente und Einstellungen\All Users\Start Menu\programs\Startup\ folder
Checking the C:\Dokumente und Einstellungen\All Users\Application Data folder
Checking the C:\Dokumente und Einstellungen\pc\Start Menu\programs\Startup\ folder
Checking the C:\Dokumente und Einstellungen\pc\Application Data folder
weiter unten I
I
V