Trojaner TR Puper G.3 |
||
|---|---|---|
| #0
| ||
|
01.08.2005, 12:00
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
01.08.2005, 12:10
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
01.08.2005, 12:45
...neu hier
Themenstarter Beiträge: 2 |
#3
'HijackThis Log: Bitte helft mir es zu prüfen'
Logfile of HijackThis v1.99.0 Scan saved at 12:32:15, on 01.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\system32\msole32.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\PROGRA~1\EzButton\CPLBTS88.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE C:\WINDOWS\system32\intell32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Firewall 2005 professional\Webfilter\Webfilter.exe C:\WINDOWS\system32\intmon.exe C:\Programme\Firewall 2005 professional\Firewall\kavpf.exe C:\PROGRA~1\FIREWA~1\WEBFIL~1\ADSCLE~1.EXE C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\billy\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9492.tmp O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\FIREWA~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300" O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Global Startup: Webfilter.lnk = C:\Programme\Firewall 2005 professional\Webfilter\Webfilter.exe O4 - Global Startup: Firewall.lnk = ? O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Show domain links - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_domain_links.htm O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de O17 - HKLM\System\CCS\Services\Tcpip\..\{A73D1C1A-1DF1-4E09-862F-1C7FFB1B0B78}: NameServer = 213.168.112.60 81.173.194.68 O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
|
|
|
|
01.08.2005, 15:00
Ehrenmitglied
Beiträge: 6028 |
||
|
|
|
|
|
01.08.2005, 15:43
Ehrenmitglied
Beiträge: 6028 |
#5
Download zum Desktop SmitRem:
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Bitte noch nicht das Tool starten. Download eine trailversion von Ewido http://www.ewido.net/en/download/ Anleitung http://rstones12.geekstogo.com/ewidosetup.htm Bitte noch nicht das Tool starten Als erstes muß in den abgesicherten Modus gewechselt werden. Nutzer von XP und Windows ME müssen zusätzlich die Systemwiederherstellung abschalten. Wie das funktioniert, http://www.bsi.bund.de/av/texte/wiederher_xp.htm Jetzt im Ordner smitrem auf die Datei Runthis.bat doppelklicken, um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Ist das Tool fertig, started noch DiskCleanup Das kann etwas länger dauern, da das Tool abschließend noch die Festplatte aufräumt. In Einzelfällen kann das bis zu 3 Stunden dauern, also bitte etwas Geduld mitbringen. Unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag “Security Info” entfernen. Start Ewido Auch ein onlinescan bei Panda Activescan sollte durchgeführt werden http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm DATENTRÄGERBEREINIGUNG Datenträgerbereinigung: und Löschen der Temporary-Dateien (durch Windows) Start>Ausführen> cleanmgr eingeben. Bestätigen loesche nur: Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. Click:Temporäre Dateien, o.k Download Clearprog Lade dir die neueste Version von ClaerProg http://www.clearprog.de/downloads.php Säubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: 1.Cookies 2.Verlauf 3.Temporäre Internetfiles (Cache) Poste ein neuer log von HJ __________ MfG Argus |
|
|
|
|
|
|
01.08.2005, 18:17
Ehrenmitglied
 Beiträge: 29434 |
#6
Hallo@Falk23
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp9492.tmp O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\intmon.exe C:\Programme\PSGuard\PSGuard.exe C:\Programme\PSGuard C:\WINDOWS\system32\msmsgs.exe C:\WINDOWS\system32\hp9492.tmp C:\WINDOWS\system32\intell32.exe C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\hhk.dll PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein poste bitte das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.08.2005, 17:23
...neu hier
Beiträge: 5 |
#7
hallo abe seit paar tagen ein tr/puper.g.3 habe probiert was sabrina empohlen hat, hat aber bei mir keine wirkung. :-/
Logfile of HijackThis v1.99.0 Scan saved at 17:08:48, on 04.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\popuper.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\intmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe G:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp4C1C.tmp O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] d:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_1d6c.dll" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Windows Service Manager] C:\WINDOWS\winssl.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_1d6c.dll" O4 - HKCU\..\Run: [_SystemCheck] C:\WINDOWS\Config\system\services.exe O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\eMule.de\emule.exe -AutoStart O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
|
|
|
|
|
04.08.2005, 23:16
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Lenst
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp4C1C.tmp O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_1d6c.dll" O4 - HKLM\..\Run: [Windows Service Manager] C:\WINDOWS\winssl.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\sfg_1d6c.dll" O4 - HKCU\..\Run: [_SystemCheck] C:\WINDOWS\Config\system\services.exe PC neustarten W32.Sober.N@mm-Entfernungstool http://www.sarc.com/avcenter/venc/data/w32.sober.n@mm.html wenn ich diese Daten habe, kann ich das Problem loesen  Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 20 Tage raus (auch die pfade) einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit ----------- Info: (ist fuer mich)--> sind Viren, aber ich warte noch, bis ich die anderen Dateien sehe C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\popuper.exe C:\WINDOWS\system32\msmsgs.exe C:\WINDOWS\system32\hp4C1C.tmp C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\intmon.exe C:\WINDOWS\Config\system\services.exe C:\WINDOWS\system32\sfg_1d6c.dll C:\WINDOWS\winssl.exe Zitat W32.Sober.N@mm[Symantec] Zitat WORM_RBOT.XE __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.08.2005, 19:59
...neu hier
Beiträge: 5 |
#9
danke viel mal.
der erste teil hab ich verstanden und gemacht. aber mit dem zweiten teil gehts ned so, ich habe jetz so dateien bekommen. was mache ich damit? danke im voraus für deine bemühungen mir zu helfen. danke diese fünf daten habe ich bekommen: 1. log PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\oleext.dll: UPX! C:\WINDOWS\system32\shnlog.exe: FSG! C:\WINDOWS\system32\ole32vbs.exe: FSG! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\DivX.dll: PEC2 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\DivX.dll: PEC2 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\oleext.dll: UPX! C:\WINDOWS\system32\shnlog.exe: FSG! C:\WINDOWS\system32\ole32vbs.exe: FSG! Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\uninstIU.exe: UPX! C:\WINDOWS\popuper.exe: FSG! Finished bye 2. sys Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F08A-41D7 Verzeichnis von C:\ 05.08.2005 18:31 0 sys.txt 05.08.2005 18:30 7'016 system.txt 05.08.2005 18:29 136 systemtemp.txt 05.08.2005 18:26 104'377 system32.txt 05.08.2005 18:17 1'026 log.txt 05.08.2005 18:17 61 windows.txt 05.08.2005 18:16 404 win.txt 05.08.2005 18:13 116 start.txt 05.08.2005 17:50 805'306'368 PAGEFILE.SYS 23.06.2005 19:47 17'513 hpfr5550.log 28.01.2005 17:07 211 boot.ini 06.01.2005 23:36 47'564 NTDETECT.COM 06.01.2005 23:36 251'184 ntldr 06.01.2005 16:12 0 MSDOS.SYS 06.01.2005 16:12 0 CONFIG.SYS 06.01.2005 16:12 0 AUTOEXEC.BAT 06.01.2005 16:12 0 IO.SYS 25.08.2002 11:44 74'680'320 Fun - Staplerfahrer Klaus.avi 18.08.2001 14:00 4'952 bootfont.bin 19 Datei(en) 880'421'248 Bytes 0 Verzeichnis(se), 9'941'729'280 Bytes frei 3. system Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F08A-41D7 Verzeichnis von C:\WINDOWS 05.08.2005 17:50 312'172 ntbtlog.txt 05.08.2005 17:50 2'048 bootstat.dat 05.08.2005 17:49 466'836 WindowsUpdate.log 05.08.2005 17:49 32'618 SchedLgU.Txt 05.08.2005 17:46 0 0.log 05.08.2005 17:46 3'374'845 {00000002-00000000-0000000D-00001102-00000002-80651102}.CDF 05.08.2005 17:46 3'374'845 {00000002-00000000-0000000D-00001102-00000002-80651102}.BAK 03.08.2005 19:56 21'357 popuper.exe 03.08.2005 19:56 2'172 sites.ini 03.08.2005 19:52 215 wiadebug.log 03.08.2005 19:52 50 wiaservc.log 01.08.2005 13:27 24'576 q388515_disk.dll 01.08.2005 12:53 24'576 q177744859_disk.dll 01.08.2005 12:51 3'072 uninstIU.exe 28.07.2005 17:31 707'467 setupapi.log 21.07.2005 18:03 64'990 wmsetup.log 20.07.2005 21:26 197'739 setupact.log 11.06.2005 16:56 29'498 DirectX.log 11.06.2005 16:25 231 system.ini 11.06.2005 12:45 99'970 UninstallFirefox.exe 11.06.2005 12:45 4'318 mozver.dat 15.04.2005 23:13 16'472 KB893066.log 15.04.2005 23:13 9'474 ocmsn.log 15.04.2005 23:13 28'777 netfxocm.log 15.04.2005 23:13 93'995 ocgen.log 15.04.2005 23:13 158'589 FaxSetup.log 15.04.2005 23:13 1'374 imsins.log 15.04.2005 23:13 9'402 tabletoc.log 15.04.2005 23:13 8'545 msgsocm.log 15.04.2005 23:13 231'788 iis6.log 15.04.2005 23:13 60'120 msmqinst.log 15.04.2005 23:13 80'441 tsoc.log 15.04.2005 23:13 64'936 comsetup.log 15.04.2005 23:13 38'715 ntdtcsetup.log 15.04.2005 23:13 14'485 medctroc.Log 15.04.2005 23:13 16'631 KB890923.log 15.04.2005 23:13 1'374 imsins.BAK 15.04.2005 23:13 3'720 updspapi.log 15.04.2005 23:13 13'233 KB893086.log 15.04.2005 23:13 14'431 KB890859.log 15.04.2005 23:13 9'294 KB893803.log 25.03.2005 17:48 128 SBWIN.INI 23.02.2005 20:55 9'591 KB887742.log 20.02.2005 13:10 400 ODBC.INI 13.02.2005 01:30 15'628 KB885250.log 13.02.2005 01:30 15'254 KB888113.log 13.02.2005 01:30 15'197 KB887472.log 13.02.2005 01:30 15'234 KB891781.log 13.02.2005 01:29 11'935 KB867282.log 13.02.2005 01:29 13'125 KB873333.log 13.02.2005 01:29 10'961 KB890047.log 13.02.2005 01:29 10'205 KB888302.log 06.02.2005 23:49 316'640 WMSysPr9.prx 31.01.2005 17:39 2'064 vminst.log 29.01.2005 15:42 237 wmsetup10.log 28.01.2005 17:09 592 DtcInstall.log 28.01.2005 17:09 57'628 spupdsvc.log 28.01.2005 17:09 847'386 setuplog.txt 28.01.2005 17:08 466'975 svcpack.log 28.01.2005 17:07 373 cmsetacl.log 28.01.2005 17:07 1'641 sessmgr.setup.log 27.01.2005 03:01 16'002 KB885836.log 27.01.2005 03:00 15'992 KB890175.log 27.01.2005 03:00 15'992 KB873339.log 27.01.2005 03:00 10'452 KB834707.log 27.01.2005 03:00 8'321 KB886185.log 27.01.2005 03:00 4'757 KB885884.log 27.01.2005 03:00 13'301 KB885835.log 18.01.2005 18:19 676 hpinfo.lnk 12.01.2005 11:41 0 nsreg.dat 06.01.2005 23:45 1'174 OEWABLog.txt 06.01.2005 23:40 487 win.ini 06.01.2005 16:15 8'192 REGLOCS.OLD 06.01.2005 16:12 0 control.ini 06.01.2005 16:12 299'552 WMSysPrx.prx 06.01.2005 16:12 4'161 ODBCINST.INI 06.01.2005 16:12 280 Windows Update.log 06.01.2005 16:11 749 WindowsShell.Manifest 06.01.2005 16:10 36 vb.ini 06.01.2005 16:10 37 vbaddin.ini 06.01.2005 16:06 2'586 regopt.log 06.01.2005 16:05 0 Sti_Trace.log 06.01.2005 16:02 0 setuperr.log 04.08.2004 00:58 288'768 winhlp32.exe 04.08.2004 00:58 32'866 slrundll.exe 04.08.2004 00:58 153'600 regedit.exe 04.08.2004 00:58 70'144 notepad.exe 04.08.2004 00:57 10'752 hh.exe 04.08.2004 00:57 1'035'264 explorer.exe 04.08.2004 00:57 50'688 twain_32.dll 17.07.2004 11:40 19'528 002187_.tmp 17.07.2004 11:40 19'528 000001_.tmp 28.02.2003 18:26 46'352 setdebug.exe 28.02.2003 16:35 6'550 jautoexp.dat 29.08.2002 09:54 1'086'182 SET3.tmp 19.07.2002 11:08 94'208 DEVREG.DLL 4. system32 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F08A-41D7 Verzeichnis von C:\WINDOWS\system32 05.08.2005 18:26 1'621 wppp.html 05.08.2005 17:49 17'596 BMXState-{00000002-00000000-0000000D-00001102-00000002-80651102}.rfx 05.08.2005 17:49 24 DVCStateBkp-{00000002-00000000-0000000D-00001102-00000002-80651102}.dat 05.08.2005 17:49 17'596 BMXStateBkp-{00000002-00000000-0000000D-00001102-00000002-80651102}.rfx 05.08.2005 17:49 30'276 BMXCtrlState-{00000002-00000000-0000000D-00001102-00000002-80651102}.rfx 05.08.2005 17:49 24 DVCState-{00000002-00000000-0000000D-00001102-00000002-80651102}.dat 05.08.2005 17:49 1'080 settingsbkup.sfm 05.08.2005 17:49 30'276 BMXBkpCtrlState-{00000002-00000000-0000000D-00001102-00000002-80651102}.rfx 05.08.2005 17:49 1'080 settings.sfm 05.08.2005 17:46 2'048 intmon.exe 05.08.2005 17:46 2'048 intmonp.exe 05.08.2005 17:46 22'571 nvapps.xml 05.08.2005 17:46 52'736 hp4D45.tmp 05.08.2005 17:46 6'656 hhk.dll 04.08.2005 17:04 4'286 ptainfo2.ico 04.08.2005 17:04 4'286 ptainfo1.ico 03.08.2005 18:01 4'541 ole32vbs.exe 03.08.2005 18:01 766 spyware.ico 03.08.2005 17:59 4'286 spam.ico 03.08.2005 17:59 2'238 pharm.ico 03.08.2005 17:59 2'238 network.ico 03.08.2005 17:58 2'238 Date.ico 03.08.2005 17:18 2'206 wpa.dbl 01.08.2005 12:50 34'421 shnlog.exe 23.06.2005 14:44 2'870 jupdate-1.5.0_01-b08.log 15.06.2005 15:04 100'210 sfg.lib 11.06.2005 16:46 144'424 FNTCACHE.DAT 12.05.2005 00:34 241'664 nvrssv.dll 12.05.2005 00:34 303'104 nvwrssl.dll Ist zu gross deshalb nicht ALLES gepostet 5. systemtemp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F08A-41D7 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp ______________________________ wenn das nicht von bedeutung ist kanst du es auch löschen, weis nicht ob das was bringt. thx |
|
|
|
|
|
|
05.08.2005, 23:06
Ehrenmitglied
Beiträge: 29434 |
#10
Lenst
•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\wppp.html C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\popuper.exe C:\WINDOWS\system32\msmsgs.exe C:\WINDOWS\system32\hp4C1C.tmp C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\intmon.exe C:\WINDOWS\Config\system\services.exe C:\WINDOWS\Config\system\zipped.wrm C:\WINDOWS\Config\system\maddys.xyz C:\WINDOWS\system32\sfg_1d6c.dll C:\WINDOWS\winssl.exe C:\WINDOWS\{00000002-00000000-0000000D-00001102-00000002-80651102}.CDF C:\WINDOWS\{00000002-00000000-0000000D-00001102-00000002-80651102}.BAK C:\WINDOWS\system32\oleext.dll C:\WINDOWS\system32\ole32vbs.exe C:\WINDOWS\uninstIU.exe C:\WINDOWS\popuper.exe C:\WINDOWS\sites.ini C:\WINDOWS\q388515_disk.dll C:\WINDOWS\q177744859_disk.dll C:\WINDOWS\system32\hp4D45.tmp C:\WINDOWS\system32\hhk.dll C:\WINDOWS\system32\ptainfo2.ico C:\WINDOWS\system32\ptainfo1.ico C:\WINDOWS\system32\spyware.ico C:\WINDOWS\system32\spam.ico C:\WINDOWS\system32\pharm.ico C:\WINDOWS\system32\network.ico C:\WINDOWS\system32\Date.ico C:\WINDOWS\system32\wpa.dbl C:\Programme\PSGuard\PSGuard.exe C:\Programme\PSGuard\ C:\WINDOWS\system32\hp9492.tmp C:\WINDOWS\system32\intell32.exe PC neustarten Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. -------------------------------------------------------------- suche und loesche: %Temp%\appconn.exe (105,472 bytes) %Temp%\cartao.exe (176,640 bytes) Note: %Temp% is a variable. The Trojan locates the temporary folder and copies itself to that location. By default, this is C:\Windows\TEMP suche und loesche: applrpc.exe applrpc.dll appconn.exe CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein Ewido--> poste den Report vom Scan http://virus-protect.org/antivirenfree.html + weil der PC doch sehr verseucht ist/war und ich nicht der perfekte "Virenscanner " bin: mache einen Onlinescan mit Panda (wenn der Antivirus meckert--> nicht beachten) und berichte vom Scan + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.08.2005, 13:02
...neu hier
Beiträge: 4 |
#11
haaaaaalllloooo
sry aber habe seit gestern auch diesen trojaner und verzeifle ja wirklich dermaßen  ( habe mit dieses HjTrackThis runtergeladen sowie diese Killerbox, aber da ich nicht wirklich viel davon verstehe hoffe ich natürlich, dass es mir vllteinfacher erklären könnt.... ich verzweilfe echt hier was macht denn dieser trojaner bzw. würde er weggehen, wenn ich die fesplatte c lösche? ich hoffe ihr könnt mir weiterhelfen *ganzdollhoff*
|
|
|
|
|
|
|
06.08.2005, 13:54
...neu hier
Beiträge: 5 |
#12
hallo @ sabrina
du hast gesagt ich soll diese dateien suchen und löschen habe aber keines von dehnen gefunden. und online sacan mit panda habe ich nicht gemacht weil ich nicht wirklich draus komme, da auf der seite. --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 13:48:39, 06.08.2005 + Report-Checksumme: 72C964C0 + Scanergebnis: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup C:\WINDOWS\system32\hp499B.tmp -> Trojan.Puper.g : Gesäubert mit Backup C:\Dokumente und Einstellungen\Kurt\Cookies\kurt@atdmt[2].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\Kurt\Cookies\kurt@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup :mozilla.10:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.13:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup :mozilla.14:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.15:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.16:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.18:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.27:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Weborama : Gesäubert mit Backup :mozilla.30:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.31:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.32:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.35:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup :mozilla.66:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup :mozilla.67:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup :mozilla.72:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup :mozilla.94:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Casalemedia : Gesäubert mit Backup :mozilla.95:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup :mozilla.100:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup :mozilla.101:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup :mozilla.104:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.247realmedia : Gesäubert mit Backup :mozilla.107:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.131:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup :mozilla.132:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup :mozilla.136:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.I12 : Gesäubert mit Backup :mozilla.163:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.164:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.189:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.198:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.71i : Gesäubert mit Backup :mozilla.199:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup :mozilla.200:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup :mozilla.202:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.212:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup :mozilla.213:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup :mozilla.220:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup :mozilla.223:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup :mozilla.224:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup :mozilla.225:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup :mozilla.238:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup :mozilla.239:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup :mozilla.253:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Sitestat : Gesäubert mit Backup :mozilla.254:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Sitestat : Gesäubert mit Backup :mozilla.286:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup :mozilla.287:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup :mozilla.291:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup :mozilla.295:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Gesäubert mit Backup :mozilla.315:C:\Dokumente und Einstellungen\Kurt\Anwendungsdaten\Mozilla\Firefox\Profiles\rudywfq0.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup C:\System Volume Information\_restore{6BA53B7F-D2E7-431B-90D7-A70FC1750FCF}\RP200\A0016953.exe -> Trojan.Small.ev : Gesäubert mit Backup C:\System Volume Information\_restore{6BA53B7F-D2E7-431B-90D7-A70FC1750FCF}\RP201\A0017076.dll -> TrojanDownloader.Delf.lh : Gesäubert mit Backup C:\System Volume Information\_restore{6BA53B7F-D2E7-431B-90D7-A70FC1750FCF}\RP201\A0017077.dll -> TrojanDownloader.Delf.lh : Gesäubert mit Backup C:\System Volume Information\_restore{6BA53B7F-D2E7-431B-90D7-A70FC1750FCF}\RP201\A0017080.exe -> Trojan.Small.ev : Gesäubert mit Backup C:\!Submit\intell32.exe -> Trojan.Small.ev : Gesäubert mit Backup D:\Programme\AVPersonal\INFECTED\A374E064D01.VIR/sexy.doc.pif -> Worm.Netsky.C : Gesäubert mit Backup D:\Programme\AVPersonal\INFECTED\services.VIR -> Worm.Sober.n : Gesäubert mit Backup D:\Programme\AVPersonal\INFECTED\winssl.VIR -> Backdoor.Agent.jn : Gesäubert mit Backup G:\backups\backup-20050803-195209-557.dll -> Trojan.Puper.g : Gesäubert mit Backup G:\backups\backup-20050805-174311-666.dll -> Trojan.Puper.g : Gesäubert mit Backup G:\backups\backup-20050805-174458-377.dll -> Trojan.Puper.g : Gesäubert mit Backup ::Report Ende und HijackThis : Logfile of HijackThis v1.99.0 Scan saved at 13:53:10, on 06.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Mozilla Firefox\firefox.exe d:\Programme\ewido\security suite\ewidoctrl.exe d:\Programme\ewido\security suite\ewidoguard.exe G:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] d:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\eMule.de\emule.exe -AutoStart O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - d:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe danke viel mal's für deine hilfe |
|
|
|
|
|
|
06.08.2005, 14:08
Member
 Beiträge: 4730 |
#13
Wenn ich das richtig sehe, Lenst, scheint es ja nun geklappt zu haben. Jedenfalls sind die bösen Prozesse nciht mehr im HJT-Log aufgeführt.
Fixe noch folgendes: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/ @Azazeal HijackThis entpacken, Hijackthis.exe ausführen, Warnmeldung mit ok bestätigen, klicke auf "Do a system scan and save a logfile" -> Das Programm startet, sucht und öffnet zum Schluss den Editor mit dem Log. Das kopierst Du dann in einen neuen Post hier. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
06.08.2005, 14:17
...neu hier
Beiträge: 4 |
#14
sooo hier diesen log, keine ahnung ob der richtig ist
Logfile of HijackThis v1.99.1 Scan saved at 14:22:47, on 06.08.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\regsvc.exe C:\WINDOWS\system32\MSTask.exe C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\WINDOWS\System32\WBEM\WinMgmt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\intell32.exe C:\WINDOWS\system32\internat.exe C:\Programme\AIM95\aim.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE c:\t-online\Browser\browser.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe D:\Homepage Patrick\hex\D\programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/?.home=msgr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/?.home=msgr R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_6_2_0.dll (file missing) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Free Download Manager] D:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: ChatSpace Full Java Client 4.0.0.301 - http://blachat.dyndns.org:81/Java/cfs40301.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{07FB0E36-B00D-4E25-B503-33633A6DBD6F}: NameServer = 217.237.151.225 217.237.150.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{07FB0E36-B00D-4E25-B503-33633A6DBD6F}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe |
|
|
|
|
|
|
06.08.2005, 14:54
Member
Beiträge: 4730 |
#15
bösartig:
C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\intell32.exe bei http://www.virustotal.com sowie http://virusscan.jotti.org/de/ überprüfen: C:\WINDOWS\system32\internat.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\msmsgs.exe Ich gehe davon aus, dass (evtl. bis auf die soundman.exe) alles Viren sind. Wenn wir hier mit der Säuberung abgeschlossen haben, dann bitte ich Dich, Dein Windows auf den aktuellen Stand zu bringen. Ich glaube, ServicePack 4 ist für Windows 2000 aktuell und Der Internet Explorer liegt inzwischen schon in Version 6.0 SP2 vor. Dann deaktiviere die Systemwiederherstellung. Start -> Systemsteuerung -> System -> Systemwiederherstellung -> Auf allen Laufwerken deaktivieren (So geht es unter XP, aber ich glaube, das gilt auch für Win2000) Killbox hast Du ja schon, also PC im abgesicherten Modus starten (vor dem Windows-Startbildschirm F8 drücken - das nennt sich erweiterte Startoptionen, glaub ich). Öffne HijackThis (=HJT) und fixe damit folgende Einträge: O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [internat.exe] internat.exe Beachte hierbei, dass Du die jeweiligen Einträge nicht fixen musst, wenn diese Einträge bei den oben angegebenen Internetadressen zu keinem Ergebnis geführt haben. Fixen mit HJT = Häkchen vor den Eintrag machen und "fix checked" anklicken. Danach öffnest Du Killbox. Unten aktivierst Du die Option "Delete on Reboot". Nach der ersten Datei wird er Dich fragen, ob der Neustart gleich durchgeführt werden soll. Klicke auf "no" und bleibe bei dieser Antwort bis zur letzten Datei - nach der letzten Datei klicke dann auf "yes". Hier kopierst Du rein und bestätigst jeden Eintrag mit Klick auf das weiße Kreuz im roten Kreis: C:\WINDOWS\system32\intell32.exe C:\WINDOWS\system32\msole32.exe C:\Programme\PSGuard\PSGuard.exe Und sofern als bösartig erkannt: C:\WINDOWS\system32\msmsgs.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\internat.exe PC neu starten -> normal. Erstelle erneut ein HJT-Log. Wenn das nichts genutzt hat, dann machen wir es mit Sabinas Methode: Start -> Ausführen -> cmd -> einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Es wird sich jeweils ein Fenster von Notepad/Editor öffnen. Hier kopierst Du bitte alle Einträge der letzten - sagen wir mal 21 Tage raus (jeweils mit dem Pfad). Sollte dann so aussehen: Verzeichnis von C:\ 05.08.2005 18:31 0 sys.txt 05.08.2005 18:30 7'016 system.txt ... __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe so gar keine Ahnung von der Materie Computer bin einfach nur user.
Ich habe da ein Problem mit einem Trojaner der sich da nennt TR Puper.G.3;
Er macht sich folgendermaßen bemerkbar: Hintergrund meines Desktops hat sich geändert und lässt sich nicht mehr ändern der Reiter Hintergrund fehlt im Menü. Ansonsten kommt hin und wieder eine Aufforderung von einem Antivirusanbieter und ich habe in der Taskleiste einen neuen Button der sich nicht löschen lässt.
Habe Antivir und spyboot versucht die zwar gefunden haben aber nicht löschen können. Auch von hand konnte ich der Datei nicht beikommen.
gibt es hilfe hat jemand ein tipp???