schwarz blinkender Desktop, einmal mehr...

#0
02.08.2005, 00:21
...neu hier

Beiträge: 5
#1 Hallo,

ich habe mir einige Post zum beliebten thema schwarzer desktop
durchgelesen, bin aber leider nicht fähig, die hilfestellungen auf
mich zu übertragen, hab nicht genug durchblick ;)

Hab mir Hijack runtergeladen, hier mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:14:47, on 02.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Johannes\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Johannes\LOKALE~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O2 - BHO: (no name) - {CC6AD9DB-F114-4A7B-84B7-391AA4E194CF} - C:\WINDOWS\System32\gfch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Johannes\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/sVwb8Yz33_HlzVyOEXPC.chm::/on.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O18 - Filter: text/html - {9BD0A51F-D91A-4894-800D-8B78914A07A1} - C:\WINDOWS\System32\gfch.dll
O18 - Filter: text/plain - {9BD0A51F-D91A-4894-800D-8B78914A07A1} - C:\WINDOWS\System32\gfch.dll
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


kann mir jemand helfen, was ich fixen muss, und so?

Ach ja: unter Eigenschaften von anzeige hab ich nur noch die wahl zwischen
Bildschirmschoner und Einstellungen...

Vielen Dank im voraus,
Charmer




(20 min später;)
Habe gerade einiges gefixt, habe die Automatische Auswertung
endeckt & genutzt, allerdings tut sich nichts neues seither und ein
log lässt sich nicht löschen:

O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Johannes\LOKALE~1\Temp\se.dll,DllInstall

das ding ist nach jedem fix sofort wieder da... logfile jetzt:

Logfile of HijackThis v1.99.1
Scan saved at 00:53:34, on 02.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Johannes\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe


ich bin echt dankbar für jede hilfe, hab grad ne hausarbeit zu schreiben
und bin ziemlich aufgeschmissen mit nem kaputten system...

Hoffende Grüße,
Charmer
Dieser Beitrag wurde am 02.08.2005 um 00:48 Uhr von Charmer editiert.
Seitenanfang Seitenende
02.08.2005, 02:54
Member
Avatar Gool

Beiträge: 4730
#2 se.dll wirst Du (hoffentlich) so los:
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Wenn Du das alles gemacht hast, erneutes HJT-Log.

Und tu Dir einen Gefallen und bringe Deinen PC auf den aktuellen Stand. Derzeit ist er noch auf dem Stand von vor drei Jahren. Vor einem Jahr gab's das Service-Pack 2, welches schon etliche Sicherheitslücken schloss. Und seitdem gab es natürlich noch eine Menge weiterer Patches, die Du Dir über das Windowsupdate besorgen kannst.

Tust Du das nicht, musst Du zwangsläufig mit weiteren Kompromittierungen Deines Rechners rechnen.

Nachtrag: Zur Sicherheit scanne Dein System mal mit eScanCheck
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 02.08.2005 um 02:57 Uhr von blueslayah editiert.
Seitenanfang Seitenende
02.08.2005, 11:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@Charmer

Hijacker about:blank - se.dll\sp.html--> scanne
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Johannes\LOKALE~1\Temp\se.dll,DllInstall

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#neue Startseite

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\WinNB57.dll
c:\eied_s7.cab
c:\ex.cab
C:\WINDOWS\SYSTEM32\tcpGDC.dll
C:\WINDOWS\System32\vbsys2.dll

PC neustarten

loeschen
C:\WINDOWS\nsdb\hosts

silentrunners

http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


escan--> bitte abarbeiten und alles posten
http://virus-protect.org/escan.html
-------------------------------------------------------------------------------------------------
INFO:
http://virus-protect.org/spyware3.html#eied
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 18:48
...neu hier

Themenstarter

Beiträge: 5
#4 Vielen Dank schon mal für eure Hilfe ;)

@Sabina:

hier das logfile des silentrunners:

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dBShell.dll" [empty string]
"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "NVDESK32.DLL" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Desktop tab}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ 4.1"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 46 seconds, including 18 seconds for message boxes)


ich warte auf weitere anweisungen, oder soll ich schon escan machen?

Liebe Grüße,
Charmer
Seitenanfang Seitenende
02.08.2005, 19:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Charmer


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Desktop\General]
"WallpaperFileTime"=-
"WallpaperLocalFileTime"=-
"Wallpaper"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.


Ewido--> scannen + poste mir das Log vom SCan
http://virus-protect.org/antivirenfree.html

du kannst dann mit escan arbeiten--> und alles posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2005, 20:19
...neu hier

Themenstarter

Beiträge: 5
#6 @ Sabrina


mein ewido-log:

Zitat

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:25:29, 02.08.2005
+ Report-Checksumme: 3B91F131

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} -> Spyware.NetNucleus : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} -> Spyware.Mirar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{EE79D398-AAAF-47B1-8C9E-11F7D4C9111B} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\XPlugin.XFilter -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\XPlugin.XFilter\CLSID -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\XPlugin.XFilter\CurVer -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} -> Spyware.NetNucleus : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} -> Spyware.NetNucleus : Gesäubert mit Backup
HKLM\SOFTWARE\TMKSoft -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\TMKSoft\XPlugin -> Spyware.CoolWebSearch : Gesäubert mit Backup
:mozilla.6:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.8:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.11:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.13:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.14:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.23:C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Mozilla\Firefox\Profiles\tlsyzsje.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@fastclick[2].txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@serving-sys[1].txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@valueclick[1].txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Beate\Cookies\beate@z1.adserver[1].txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.23:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Smartadserver : Gesäubert mit Backup
:mozilla.30:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Smartadserver : Gesäubert mit Backup
:mozilla.31:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Smartadserver : Gesäubert mit Backup
:mozilla.35:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.37:C:\Dokumente und Einstellungen\Helga\Anwendungsdaten\Mozilla\Firefox\Profiles\5yz42be9.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@adtech[2].txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@atdmt[2].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@bfast[2].txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@mediaplex[2].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@overture[2].txt -> Spyware.Cookie.Overture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Helga\Cookies\helga@valueclick[2].txt -> Spyware.Cookie.Valueclick : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\vsito9fl.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adtech[1].txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@servedby.advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Michael\Cookies\michael@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\Downloads\hijackthis\backups\backup-20050802-003926-204.dll -> Spyware.NetNucleus : Gesäubert mit Backup
C:\WINDOWS\system32\tksrv98.exe -> TrojanDownloader.Esepor.Q : Gesäubert mit Backup
C:\WINDOWS\system32\WinDmy.dll -> Spyware.Getmirar : Gesäubert mit Backup
C:\WINDOWS\system32\xplugin.dll -> TrojanDownloader.Esepor.u : Gesäubert mit Backup


::Report Ende
jetzt kommt escan log:

Zitat

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Tue Aug 02 20:32:38 2005 => File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
2: Tue Aug 02 20:33:05 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
3: Tue Aug 02 20:33:05 2005 => System found infected with CoolWebSearch Spyware/Adware ({ac3f36d4-f905-4fe9-a926-eb937e66f591})! Action taken: No Action Taken.
4: Tue Aug 02 20:34:21 2005 => System found infected with CWS.xplugin Spyware/Adware (xplugin.dll)! Action taken: No Action Taken.
5: Tue Aug 02 20:36:57 2005 => File C:\WINDOWS\System32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
6: Tue Aug 02 20:51:18 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
7: Tue Aug 02 21:05:40 2005 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
8: Tue Aug 02 21:07:47 2005 => Scanning Folder: E:\Alben\Sum 41\Does This Look Infected\*.*
9: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 01 - Hell Song.mp3 [**]
10: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 02 - Over My Head.mp3 [**]
11: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 03 - My Direction.mp3 [**]
12: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 04 - Still Waiting.mp3 [**]
13: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 05 - Asshole.mp3 [**]
14: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 06 - Yesterday.Com.mp3 [**]
15: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 07 - All Messed Up.mp3 [**]
16: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 08 - Mr. Amsterdam.mp3 [**]
17: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 09 - Thanks For Nothing.mp3 [**]
18: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 10 - Hyper-Insomnia.mp3 [**]
19: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 11 - Billy Spleen.mp3 [**]
20: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected - 12 - Hooch.mp3 [**]
21: Tue Aug 02 21:07:47 2005 => Scanning File E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look Infected.m3u [**]

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Tue Aug 02 20:45:14 2005 => File C:\Dokumente und Einstellungen\Helga\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ODXPWCI4\search[4].htm tagged as not-a-virus:pSWTool.HTML.Fraud.gen. No Action Taken.
2: Tue Aug 02 20:50:35 2005 => File C:\mIRC\backup\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
3: Tue Aug 02 20:50:36 2005 => File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
4: Tue Aug 02 20:57:28 2005 => File C:\WINDOWS\Downloaded Program Files\MirarSetup.exe tagged as "not-a-virus:AdWare.SaveNow.bj". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Tue Aug 02 20:34:23 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\WinDmy.dll". Action Taken: No Action Taken.
2: Tue Aug 02 20:34:24 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.
3: Tue Aug 02 20:34:24 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
4: Tue Aug 02 20:34:25 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\pxwma.dll". Action Taken: No Action Taken.
5: Tue Aug 02 20:34:25 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\WinDmy.dll". Action Taken: No Action Taken.
6: Tue Aug 02 20:34:26 2005 => Entry "HKCR\CLSID\{04F3168F-5AFC-4531-B3B4-16CA93720415}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
7: Tue Aug 02 20:34:28 2005 => Entry "HKCR\CLSID\{187A8428-BD94-470D-A178-A2347F940519}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
8: Tue Aug 02 20:34:29 2005 => Entry "HKCR\CLSID\{2865930B-4588-4FF3-8227-6D4F66C92C7A}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
9: Tue Aug 02 20:34:29 2005 => Entry "HKCR\CLSID\{2B7E6AA9-C4FA-4951-815B-4AFE39D81453}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken.
10: Tue Aug 02 20:34:29 2005 => Entry "HKCR\CLSID\{2FE2EDC0-9E62-4F34-8A73-BC66DAE48EF3}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
11: Tue Aug 02 20:34:30 2005 => Entry "HKCR\CLSID\{3A3A8C24-8FF0-4140-9731-54D9483EA70B}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
12: Tue Aug 02 20:34:30 2005 => Entry "HKCR\CLSID\{3A906593-B4BD-48ED-84B0-3249BED65EF9}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
13: Tue Aug 02 20:34:31 2005 => Entry "HKCR\CLSID\{49B72A72-01F5-4AE8-BBD7-DAA67F1E303B}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
14: Tue Aug 02 20:34:33 2005 => Entry "HKCR\CLSID\{6AE3ACA6-1BE3-4443-98DD-EFFCFA793D35}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
15: Tue Aug 02 20:34:34 2005 => Entry "HKCR\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}" refers to invalid object "C:\Programme\PSGuard\WndLayer.dll". Action Taken: No Action Taken.
16: Tue Aug 02 20:34:34 2005 => Entry "HKCR\CLSID\{79DDF2EF-D881-464B-B2AF-5AF8816A3964}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
17: Tue Aug 02 20:34:34 2005 => Entry "HKCR\CLSID\{813C8E86-4C90-4617-B59E-E130CC068140}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
18: Tue Aug 02 20:34:35 2005 => Entry "HKCR\CLSID\{89133BCE-57D0-4D2B-AFAF-A97B74AD704E}" refers to invalid object "C:\Programme\PSGuard\WndLayer.dll". Action Taken: No Action Taken.
19: Tue Aug 02 20:34:35 2005 => Entry "HKCR\CLSID\{8F40CC34-FE77-4618-AA3D-BD2EFACAA8DC}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
20: Tue Aug 02 20:34:36 2005 => Entry "HKCR\CLSID\{9BD0A51F-D91A-4894-800D-8B78914A07A1}" refers to invalid object "C:\WINDOWS\System32\gfch.dll". Action Taken: No Action Taken.
21: Tue Aug 02 20:34:36 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
22: Tue Aug 02 20:34:36 2005 => Entry "HKCR\CLSID\{9F89E240-06A6-4E1C-BA84-F267DE7DB391}" refers to invalid object "C:\Programme\PSGuard\WndLayer.dll". Action Taken: No Action Taken.
23: Tue Aug 02 20:34:37 2005 => Entry "HKCR\CLSID\{B60A0E56-548D-40AE-9383-D752531F653F}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
24: Tue Aug 02 20:34:37 2005 => Entry "HKCR\CLSID\{B67B0756-2528-4996-B4BD-C993614CC0B6}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
25: Tue Aug 02 20:34:38 2005 => Entry "HKCR\CLSID\{BCC51EA9-6340-4EBE-8736-13A752ECB0BE}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
26: Tue Aug 02 20:34:41 2005 => Entry "HKCR\CLSID\{E9719D38-EC55-4C8B-9DF0-080ADE95A9FA}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
27: Tue Aug 02 20:34:42 2005 => Entry "HKCR\CLSID\{F4B3E25A-33B4-4647-9A78-B627DDE211A6}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
28: Tue Aug 02 20:34:54 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
29: Tue Aug 02 20:34:54 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
30: Tue Aug 02 20:34:54 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
31: Tue Aug 02 20:34:58 2005 => Entry "HKCR\NN_Bar_Dummy.NN_BarDummy" refers to invalid object "{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}". Action Taken: No Action Taken.
32: Tue Aug 02 20:34:58 2005 => Entry "HKCR\NN_Bar_Dummy.NN_BarDummy.1" refers to invalid object "{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}". Action Taken: No Action Taken.
33: Tue Aug 02 20:35:04 2005 => Entry "HKCR\XPlugin.XFilter.1" refers to invalid object "{4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB}". Action Taken: No Action Taken.
34: Tue Aug 02 20:51:42 2005 => Result: ERROR!!! File C:\Programme\eMule\Incoming\Emule v0.45B No Upload.rar is Not Scanned

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\system32\WININET.dll => Virus.Win32.Nsag.b
2: C:\WINDOWS\System32\wininet.dll => Virus.Win32.Nsag.b
3: C:\Dokumente und Einstellungen\Helga\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ODXPWCI4\search[4].htm => tagged:pSWTool.HTML.Fraud.gen.
4: C:\mIRC\backup\mirc.exe => tagged:Client-IRC.Win32.mIRC.616.
5: C:\mIRC\mirc.exe => tagged:Client-IRC.Win32.mIRC.616.
6: C:\WINDOWS\system32\wininet.dll => Virus.Win32.Nsag.b
7: E:\Alben\Sum 41\Does This Look Infected\Sum 41 - Does This Look =>

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Tue Aug 02 21:09:50 2005 => Total Objects Scanned: 78992
Tue Aug 02 21:09:50 2005 => Total Virus(es) Found: 12
Tue Aug 02 21:09:50 2005 => Total Errors: 34
Tue Aug 02 21:09:50 2005 => Virus Database Date: 2005/08/02
Tue Aug 02 21:09:50 2005 => Virus Database Count: 141687
Tue Aug 02 21:16:39 2005 => Total Objects Scanned: 78992
Tue Aug 02 21:16:39 2005 => Total Virus(es) Found: 12
Tue Aug 02 21:16:39 2005 => Total Errors: 34
Danke!

MfG
Charmer
Dieser Beitrag wurde am 02.08.2005 um 21:11 Uhr von Charmer editiert.
Seitenanfang Seitenende
02.08.2005, 21:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@Charmer

ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

starte den PC neu, der escan loescht eventuell beim booten die Malware,


Loeschen:
C:\WINDOWS\Downloaded Program Files\MirarSetup.exe

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.08.2005, 20:27
...neu hier

Themenstarter

Beiträge: 5
#8 Hey Sabrina,

hat ne weile gedauert. aber arbeit ging vor...
Also, hab alles wie oben beschreiben gemacht,
alles was da stand war folgendes:

Zitat

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 5407-8462
mfg,
Charmer
Seitenanfang Seitenende
10.08.2005, 22:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@Charmer

Die Entwickler haben inzwischen auch nicht geschlafen: ;)

Lade :smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/

Oeffne smitRem folder, Doppelklick: RunThis.bat

warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 00:21
...neu hier

Themenstarter

Beiträge: 5
#10 Hallo@Sabina

hier meine smitfiles.txt:

Zitat

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! ;)


Pre-run Files Present


~~~ Program Files ~~~

PSGuard


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

wininet.dll INFECTED!! ;) Starting replacement procedure.


~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~



~~~ Upon reboot ~~~

wininet.old present!
oleadm.dll not present!
oleext.dll present!


~~~ Upon completion ~~~

wininet.old not present!
oleadm.dll not present!
oleext.dll not present!


~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~


~~~~ C:\WINDOWS\system32\wininet.dll Clean! ;) ~~~~
Scheint alles wieder zu funktionieren oder?

Vielen Dank für die ganze Hilfe ;)
Ich hab übrigens ne Hardware-firewall (dacht ich?)
über meinen Router SMC Barricade 7004 BR

Ist das kein ausreichender Schutz? Offensichtlich nicht...
Und sollte ich AntiVir Löschen, wenn der Guard von eWido
läuft? Fragen über Fragen ;)

MfG
Charmer
Seitenanfang Seitenende
19.08.2005, 09:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@Charmer

ein Hoch auf den Entwickler von smitRem ;)

loesche : Programme\PSGuard

Der ewido ist meines Wissens nur 2 Wochen free.
Der Guard vom Antivirus sollte aktiviert beiben.

wenn du noch einen zusaetzlichen Guard willst (sehr gut uebrigens, dann lade folgendes)
Microsoft Windows Antispy (free)
http://virus-protect.org/ms.html

Eingeschränktes Benutzerkonto
http://virus-protect.org/administrator.html

Alles Gute fuer dich + PC ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: