virus (trojaner?) per msn messenger,werd ihn net los |
||
---|---|---|
#0
| ||
14.08.2005, 19:43
...neu hier
Beiträge: 7 |
||
|
||
17.08.2005, 18:42
...neu hier
Beiträge: 6 |
#32
Hiho,
mich hat's leider auch erwischt... Schade um mein gutes altes W2k Hijack sagt das dazu: Logfile of HijackThis v1.99.1 Scan saved at 20:32:41, on 17.08.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\stisvc.exe C:\Programme\HHVcdV5Sys\VC5SecS.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\HHVcdV5Sys\VC5Play.exe C:\WINNT\mHotkey.exe C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\CpuIdle\Cpuidle.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Virtual CD v5\System\VC5Tray.exe C:\Programme\Samurize\Client.exe C:\Programme\Samurize\Client.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\Winamp5\winamp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Jan Heinke\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing) O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [SpeedFan] C:\Programme\SpeedFan\speedfan.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\Cpuidle.exe O4 - HKLM\..\Run: [zz System] C:\Programme\Samurize\Client.exe i=System O4 - HKLM\..\Run: [zz System LCD] C:\Programme\Samurize\Client.exe i=SystemLCD O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: 8rdavcore.exe.lnk = C:\Programme\8rda\8rdavcore.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm072XXDE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_10406.dll' missing O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124215703890 O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe (file missing) O23 - Service: Alias Maya 5.0 PLE Help Server (Maya5PLEHelpServer) - Unknown owner - D:\Programme\AliasWavefront\Maya 5.0 Personal Learning Edition\docs\Wrapper.exe" -s "D:\Programme\AliasWavefront\Maya 5.0 Personal Learning Edition\docs/Wrapper.conf (file missing) O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing) O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe Das System ist schon n bisschen länger auf der Platte, ich glaub da is ne menge müll drin *schluchz* Pls Help /Edit Mein ach so Toller BitDefender erkennt anscheinend zufällig die datei "C:\WinNt\system32\.exe" welche einen suspect auf einen backdoor auslöst (BehavesLike:Win32.IRC-Backdoor)... ich kann nur okay, klicken, das problem wird nicht gelöst. Sollte ich vielleicht einen anderen scanner wie zum beispiel antivir nehmen? Dieser Beitrag wurde am 17.08.2005 um 20:31 Uhr von Instant editiert.
|
|
|
||
17.08.2005, 20:41
Member
Beiträge: 4730 |
#33
BItDefender ist schon ok.
fixe mit HijackThis (HJT - Häkchen vor den Eintrag setzen und auf "fix checked" klicken) O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm072XXDE O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - Überprüfe bei http://www.virustotal.com folgende Datei: C:\WINNT\system32\r_server.exe Und teile uns das Ergebnis mit. Wegen der C:\WinNt\system32\.exe Seit wann tritt das auf? Start -> Ausführen -> cmd Kopiere rein: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit Danach sollte sich ein Notepad-Fenster öffnen. Kopiere alle Einträge hier rein, ab 5 Tagen vor dem Zeitpunkt, als BitDefender das Ding das erste mal erkannt hat. Nachtrag: Hab ich vergessen... O10 - Broken Internet access because of LSP provider 'xfire_lsp_10406.dll' missing Lade Dir LSPfix und starte es. Teile uns mit, was sich in der linken und was sich in der rechten Spalte befindet. Mehr mache bitte noch nicht (wenn Du das Programm schließen willst, klicke oben rechts auf das Kreuz). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 17.08.2005 um 20:43 Uhr von Managor editiert.
|
|
|
||
17.08.2005, 21:33
...neu hier
Beiträge: 6 |
#34
Virustotal sagt:
AntiVir 6.31.1.0 08.17.2005 no virus found Avast 4.6.695.0 08.17.2005 no virus found AVG 718 08.17.2005 no virus found Avira 6.31.1.0 08.17.2005 no virus found BitDefender 7.0 08.17.2005 no virus found CAT-QuickHeal 7.03 08.17.2005 no virus found ClamAV devel-20050725 08.17.2005 Trojan.RAdmin-2 DrWeb 4.32b 08.17.2005 no virus found eTrust-Iris 7.1.194.0 08.17.2005 no virus found eTrust-Vet 11.9.1.0 08.17.2005 no virus found Fortinet 2.41.0.0 08.17.2005 RAT/RAdmin F-Prot 3.16c 08.17.2005 no virus found Ikarus 0.2.59.0 08.17.2005 no virus found Kaspersky 4.0.2.24 08.17.2005 not-a-virus:RemoteAdmin.Win32.RAdmin.21 McAfee 4561 08.17.2005 potentially unwanted program RemAdm-RemoteAdmin NOD32v2 1.1196 08.17.2005 Win32/RemoteAdmin Norman 5.70.10 08.17.2005 no virus found Panda 8.02.00 08.17.2005 no virus found Sophos 3.96.0 08.17.2005 no virus found Sybari 7.5.1314 08.17.2005 no virus found Symantec 8.0 08.17.2005 no virus found TheHacker 5.8.2.090 08.17.2005 Aplicacion/RemoteAdmin VBA32 3.10.4 08.17.2005 no virus found Ich sage, das ist so gewollt, manchmal brauche ich Remotezugriff. Desweiteren: Verzeichnis von C:\WINNT\system32 17.08.2005 20:23 16.384 Perflib_Perfdata_52c.dat 17.08.2005 20:23 16.384 Perflib_Perfdata_474.dat 17.08.2005 19:40 8.219 .exe 17.08.2005 19:00 16.384 Perflib_Perfdata_544.dat 17.08.2005 18:59 16.384 Perflib_Perfdata_4e0.dat 17.08.2005 18:12 16.384 Perflib_Perfdata_47c.dat 17.08.2005 17:48 16.384 Perflib_Perfdata_46c.dat 17.08.2005 17:48 16.384 Perflib_Perfdata_420.dat 17.08.2005 17:45 16.384 Perflib_Perfdata_48c.dat 17.08.2005 16:38 16.384 Perflib_Perfdata_55c.dat 17.08.2005 16:37 16.384 Perflib_Perfdata_4d8.dat 17.08.2005 16:08 16.384 Perflib_Perfdata_5b0.dat 17.08.2005 16:07 16.384 Perflib_Perfdata_584.dat 16.08.2005 21:08 16.384 Perflib_Perfdata_54c.dat 16.08.2005 20:16 16.384 Perflib_Perfdata_558.dat 16.08.2005 20:16 16.384 Perflib_Perfdata_4f8.dat 16.08.2005 19:14 16.384 Perflib_Perfdata_528.dat 16.08.2005 19:14 16.384 Perflib_Perfdata_4ec.dat 16.08.2005 18:49 16.384 Perflib_Perfdata_4c4.dat 16.08.2005 18:41 16.384 Perflib_Perfdata_534.dat 16.08.2005 18:41 16.384 Perflib_Perfdata_2d0.dat 16.08.2005 18:39 16.384 Perflib_Perfdata_d0.dat 16.08.2005 18:39 16.384 Perflib_Perfdata_280.dat 16.08.2005 18:30 16.384 Perflib_Perfdata_524.dat 16.08.2005 18:29 16.384 Perflib_Perfdata_320.dat 16.08.2005 18:01 16.384 Perflib_Perfdata_53c.dat 16.08.2005 18:01 16.384 Perflib_Perfdata_4d0.dat 16.08.2005 17:43 16.384 Perflib_Perfdata_1d0.dat 16.08.2005 17:21 16.384 Perflib_Perfdata_4ac.dat 16.08.2005 17:13 16.384 Perflib_Perfdata_434.dat 16.08.2005 14:21 16.384 Perflib_Perfdata_550.dat 16.08.2005 14:20 16.384 Perflib_Perfdata_514.dat 14.08.2005 11:51 16.384 Perflib_Perfdata_470.dat 14.08.2005 11:17 16.384 Perflib_Perfdata_5e8.dat 14.08.2005 11:17 16.384 Perflib_Perfdata_564.dat LSPfix: Keep rnr20.dll [TCP/IP] winrnr.dll [NTDS] nwprovau.dll [NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll] msafd.dll [(Protocol handler)] rsvoso.dll [(Protocol handler)] Remove xfire_lsp_10406.dll [(Protocol handler)] /Edit jetzt kann man es besser lesen. Vielen Dank schonmal... Dieser Beitrag wurde am 17.08.2005 um 21:37 Uhr von Instant editiert.
|
|
|
||
17.08.2005, 21:53
Member
Beiträge: 4730 |
#35
Ok, dann entferne mit LSPfix die xfire_lsp_10406.dll
r_server.exe ist ok. Wollte nur wissen, ob es sich evtl. um BANKER-AN TROJAN handelt. Lade Killbox, entpacke und starte es. Aktiviere die Option "Delete on Reboot" und füge ein: c:\winnt\system32\.exe Bestätige alle abfragen mit YES. Der PC wird neugestartet. Nun muss noch nachgeprüft werden, ob er die Datei erfolgreich löschen konnte. Die Perflib_Perfdata_***.dat kannst Du alle löschen (bis auf die zwei neusten, die können nicht gelöscht werden) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.08.2005, 22:06
...neu hier
Beiträge: 6 |
#36
Okay, hab ich alles erledigt...
Wenn ich mit Killbox (zur überprüfung) erneut die datei löschen will, kommt wieder ein fenster, dass c:\winnt\system32\.exe ein backdoor sein kann. danach kommt noch ein virusalert für c:\winnt\system32\exe~1 (tilde ist hochgestellt, keine Ahnung, wie man das tippt ^^) Auch mit BehavesLike:Win32.IRC-Backdoor. Es geht also weiter. Auf zur nächsten Antwort /Edit hmm, was ist das denn: Neu starten Sie sind nicht dazu berechtigt, diesen Computer herunterzufahren und neu zu starten. Ok -.- Dieser Beitrag wurde am 17.08.2005 um 22:13 Uhr von Instant editiert.
|
|
|
||
17.08.2005, 22:55
Member
Beiträge: 4730 |
#37
Machs mal aus dem abgesicherten Modus heraus.
Lade Dir eScan und scanne damit Dein System. Poste dann das Ergebnis, wie auf der Seite beschrieben. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
17.08.2005, 23:09
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo@Instant
17.08.2005 20:23 16.384 Perflib_Perfdata_474.dat 17.08.2005 19:40 8.219 .exe 17.08.2005 19:00 16.384 Perflib_Perfdata_544.dat bitte ueberpruefen: C:\WINNT\system32\.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2005, 12:58
...neu hier
Beiträge: 6 |
#39
So, da bin ich wieder,
C:\WINNT\system32\.exe ist zum überprüfen leider zu groß. ich werde das mit dem löschen dann gleich nochmal im abgesicherten versuchen |
|
|
||
18.08.2005, 13:19
Ehrenmitglied
Beiträge: 29434 |
#40
ueberpruefe dann bitte, ob die .exe weg ist (nach dem Neustart)
Zitat 17.08.2005 20:23 16.384 Perflib_Perfdata_474.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2005, 15:06
...neu hier
Beiträge: 6 |
#41
eScan meldet:
1: C:\WINNT\system32\r_server.exe => tagged:RemoteAdmin.Win32.RAdmin.21. 2: C:\WINNT\system32\.exe => Backdoor.Win32.IRCBot.ex 3: C:\WINNT\system32\admdll.dll => tagged:RemoteAdmin.Win32.RAdmin.20. 4: C:\WINNT\system32\raddrv.dll => tagged:RemoteAdmin.Win32.RAdmin.20. 5: C:\Programme\Radmin\AdmDll.dll => tagged:RemoteAdmin.Win32.RAdmin.20. 6: C:\Programme\Radmin\raddrv.dll => tagged:RemoteAdmin.Win32.RAdmin.20. 7: C:\Programme\Radmin\radmin.exe => tagged:RemoteAdmin.Win32.RAdmin.21. 8: C:\Programme\Radmin\r_server.exe => tagged:RemoteAdmin.Win32.RAdmin.21. 9: C:\Programme\Samurize\Scripts\Datum-URL.vbs => Trojan-Downloader.JS.gen 10: D:\Sierra\Counter-Strike\hltv.exe => tagged:Server-Proxy.Win32.Hltv. -------------------------------------------------- -------------------- Statistik ------------------- -------------------------------------------------- Thu Aug 18 14:12:47 2005 => Total Objects Scanned: 164091 Thu Aug 18 14:12:47 2005 => Total Virus(es) Found: 58 Thu Aug 18 14:12:47 2005 => Total Errors: 373 Thu Aug 18 14:12:47 2005 => Virus Database Date: 2005/08/17 Thu Aug 18 14:12:47 2005 => Virus Database Count: 144049 Die .exe ist zum glück weg... hab den scan noch vor dem neustart durchgeführt, nicht, dass ihr euch noch darüber wundert, warum die oben noch da ist. Dieser Beitrag wurde am 18.08.2005 um 15:11 Uhr von Instant editiert.
|
|
|
||
18.08.2005, 16:15
Ehrenmitglied
Beiträge: 29434 |
#42
•KillBox http://virus-protect.org/killbox.html C:\WINNT\system32\.exe C:\Programme\Samurize\Scripts\Datum-URL.vb PC neustarten P.S. den :RemoteAdmin. wuerde ich an deiner Stelle ebenfalls loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2005, 20:48
...neu hier
Beiträge: 6 |
#43
Okay, vielen Dank!
Alles ist wieder bestens Ich hoffe wir sehen uns nicht so bald wieder, natürlich werde ich euch emfpehlen Instant |
|
|
||
03.09.2006, 14:58
...neu hier
Beiträge: 10 |
#44
Hallo, habe leider auch den Virus...
Logfile of HijackThis v1.99.1 Scan saved at 15:09:30, on 03.09.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\Fmctrl.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\Lexmark 5200 series\lxbtbmgr.exe C:\Programme\Lexmark 5200 series\lxbtbmon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\PROGRA~1\JavaSoft\JRE1.4\14268D~1.2\bin\javaw.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\WINDOWS\System32\svchost.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\DOKUME~1\Jabo\LOKALE~1\Temp\Rar$EX01.911\KillBox.exe C:\Dokumente und Einstellungen\Jabo\Desktop\HijackThis(2).exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL (file missing) O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL (file missing) O2 - BHO: XBTP05231 - {031F120A-BBAF-45d8-B306-375F2A6B9398} - C:\PROGRA~1\ALCOHO~1\ALCOHO~2\a120_tb.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\5.bin\MWSBAR.DLL (file missing) O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing) O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - C:\Programme\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll (file missing) O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe" O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: Reboot.exe O4 - Startup: uboot joe autostart check.LNK = C:\Programme\uboot joe\ubootjoeautostartcheck.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Dieser Beitrag wurde am 03.09.2006 um 15:10 Uhr von Jabo editiert.
|
|
|
||
03.09.2006, 16:04
Ehrenmitglied
Beiträge: 29434 |
#45
Jabo
ich reinige normalerweise keine Rechner ohne Windowsupdates, da sinnlos........ 1. deinstalliere: C:\Programme\MyWebSearch C:\Programme\Macrogaming look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Vielen dank das ihr mir so schnell geholfen habt!!!!
THX an Sabina und THX an Managor!!!
Ich werde das Forum auf jedenfall weiterempfehlen!!!
Ich wünsche euch noch einen schönen Sonntagabend!!!
THx a lot!!!!
Gruß EyTie