virus (trojaner?) per msn messenger,werd ihn net los

#0
14.08.2005, 19:43
...neu hier

Beiträge: 7
#31 Jau super alles wieder beim alten !!!! ;-)

Vielen dank das ihr mir so schnell geholfen habt!!!!

THX an Sabina und THX an Managor!!!

Ich werde das Forum auf jedenfall weiterempfehlen!!!

Ich wünsche euch noch einen schönen Sonntagabend!!!

THx a lot!!!!

Gruß EyTie
Seitenanfang Seitenende
17.08.2005, 18:42
...neu hier

Beiträge: 6
#32 Hiho,

mich hat's leider auch erwischt... Schade um mein gutes altes W2k ;)

Hijack sagt das dazu:

Logfile of HijackThis v1.99.1
Scan saved at 20:32:41, on 17.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\WINNT\mHotkey.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\CpuIdle\Cpuidle.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\Programme\Samurize\Client.exe
C:\Programme\Samurize\Client.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Winamp5\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Jan Heinke\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SpeedFan] C:\Programme\SpeedFan\speedfan.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\Cpuidle.exe
O4 - HKLM\..\Run: [zz System] C:\Programme\Samurize\Client.exe i=System
O4 - HKLM\..\Run: [zz System LCD] C:\Programme\Samurize\Client.exe i=SystemLCD
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: 8rdavcore.exe.lnk = C:\Programme\8rda\8rdavcore.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm072XXDE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10406.dll' missing
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124215703890
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe (file missing)
O23 - Service: Alias Maya 5.0 PLE Help Server (Maya5PLEHelpServer) - Unknown owner - D:\Programme\AliasWavefront\Maya 5.0 Personal Learning Edition\docs\Wrapper.exe" -s "D:\Programme\AliasWavefront\Maya 5.0 Personal Learning Edition\docs/Wrapper.conf (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe



Das System ist schon n bisschen länger auf der Platte, ich glaub da is ne menge müll drin *schluchz*

Pls Help ;)

/Edit Mein ach so Toller BitDefender erkennt anscheinend zufällig die datei "C:\WinNt\system32\.exe" welche einen suspect auf einen backdoor auslöst (BehavesLike:Win32.IRC-Backdoor)... ich kann nur okay, klicken, das problem wird nicht gelöst. Sollte ich vielleicht einen anderen scanner wie zum beispiel antivir nehmen?
Dieser Beitrag wurde am 17.08.2005 um 20:31 Uhr von Instant editiert.
Seitenanfang Seitenende
17.08.2005, 20:41
Member
Avatar Gool

Beiträge: 4730
#33 BItDefender ist schon ok.

fixe mit HijackThis (HJT - Häkchen vor den Eintrag setzen und auf "fix checked" klicken)

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm072XXDE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Überprüfe bei http://www.virustotal.com folgende Datei:
C:\WINNT\system32\r_server.exe
Und teile uns das Ergebnis mit.

Wegen der C:\WinNt\system32\.exe
Seit wann tritt das auf?

Start -> Ausführen -> cmd
Kopiere rein:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

Danach sollte sich ein Notepad-Fenster öffnen. Kopiere alle Einträge hier rein, ab 5 Tagen vor dem Zeitpunkt, als BitDefender das Ding das erste mal erkannt hat.

Nachtrag: Hab ich vergessen...
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10406.dll' missing

Lade Dir LSPfix und starte es. Teile uns mit, was sich in der linken und was sich in der rechten Spalte befindet. Mehr mache bitte noch nicht (wenn Du das Programm schließen willst, klicke oben rechts auf das Kreuz).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 17.08.2005 um 20:43 Uhr von Managor editiert.
Seitenanfang Seitenende
17.08.2005, 21:33
...neu hier

Beiträge: 6
#34 Virustotal sagt:
AntiVir 6.31.1.0 08.17.2005 no virus found
Avast 4.6.695.0 08.17.2005 no virus found
AVG 718 08.17.2005 no virus found
Avira 6.31.1.0 08.17.2005 no virus found
BitDefender 7.0 08.17.2005 no virus found
CAT-QuickHeal 7.03 08.17.2005 no virus found
ClamAV devel-20050725 08.17.2005 Trojan.RAdmin-2
DrWeb 4.32b 08.17.2005 no virus found
eTrust-Iris 7.1.194.0 08.17.2005 no virus found
eTrust-Vet 11.9.1.0 08.17.2005 no virus found
Fortinet 2.41.0.0 08.17.2005 RAT/RAdmin
F-Prot 3.16c 08.17.2005 no virus found
Ikarus 0.2.59.0 08.17.2005 no virus found
Kaspersky 4.0.2.24 08.17.2005 not-a-virus:RemoteAdmin.Win32.RAdmin.21
McAfee 4561 08.17.2005 potentially unwanted program RemAdm-RemoteAdmin
NOD32v2 1.1196 08.17.2005 Win32/RemoteAdmin
Norman 5.70.10 08.17.2005 no virus found
Panda 8.02.00 08.17.2005 no virus found
Sophos 3.96.0 08.17.2005 no virus found
Sybari 7.5.1314 08.17.2005 no virus found
Symantec 8.0 08.17.2005 no virus found
TheHacker 5.8.2.090 08.17.2005 Aplicacion/RemoteAdmin
VBA32 3.10.4 08.17.2005 no virus found
Ich sage, das ist so gewollt, manchmal brauche ich Remotezugriff.

Desweiteren:
Verzeichnis von C:\WINNT\system32

17.08.2005 20:23 16.384 Perflib_Perfdata_52c.dat
17.08.2005 20:23 16.384 Perflib_Perfdata_474.dat
17.08.2005 19:40 8.219 .exe
17.08.2005 19:00 16.384 Perflib_Perfdata_544.dat
17.08.2005 18:59 16.384 Perflib_Perfdata_4e0.dat
17.08.2005 18:12 16.384 Perflib_Perfdata_47c.dat
17.08.2005 17:48 16.384 Perflib_Perfdata_46c.dat
17.08.2005 17:48 16.384 Perflib_Perfdata_420.dat
17.08.2005 17:45 16.384 Perflib_Perfdata_48c.dat
17.08.2005 16:38 16.384 Perflib_Perfdata_55c.dat
17.08.2005 16:37 16.384 Perflib_Perfdata_4d8.dat
17.08.2005 16:08 16.384 Perflib_Perfdata_5b0.dat
17.08.2005 16:07 16.384 Perflib_Perfdata_584.dat
16.08.2005 21:08 16.384 Perflib_Perfdata_54c.dat
16.08.2005 20:16 16.384 Perflib_Perfdata_558.dat
16.08.2005 20:16 16.384 Perflib_Perfdata_4f8.dat
16.08.2005 19:14 16.384 Perflib_Perfdata_528.dat
16.08.2005 19:14 16.384 Perflib_Perfdata_4ec.dat
16.08.2005 18:49 16.384 Perflib_Perfdata_4c4.dat
16.08.2005 18:41 16.384 Perflib_Perfdata_534.dat
16.08.2005 18:41 16.384 Perflib_Perfdata_2d0.dat
16.08.2005 18:39 16.384 Perflib_Perfdata_d0.dat
16.08.2005 18:39 16.384 Perflib_Perfdata_280.dat
16.08.2005 18:30 16.384 Perflib_Perfdata_524.dat
16.08.2005 18:29 16.384 Perflib_Perfdata_320.dat
16.08.2005 18:01 16.384 Perflib_Perfdata_53c.dat
16.08.2005 18:01 16.384 Perflib_Perfdata_4d0.dat
16.08.2005 17:43 16.384 Perflib_Perfdata_1d0.dat
16.08.2005 17:21 16.384 Perflib_Perfdata_4ac.dat
16.08.2005 17:13 16.384 Perflib_Perfdata_434.dat
16.08.2005 14:21 16.384 Perflib_Perfdata_550.dat
16.08.2005 14:20 16.384 Perflib_Perfdata_514.dat
14.08.2005 11:51 16.384 Perflib_Perfdata_470.dat
14.08.2005 11:17 16.384 Perflib_Perfdata_5e8.dat
14.08.2005 11:17 16.384 Perflib_Perfdata_564.dat

LSPfix:
Keep
rnr20.dll [TCP/IP]
winrnr.dll [NTDS]
nwprovau.dll [NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll]
msafd.dll [(Protocol handler)]
rsvoso.dll [(Protocol handler)]

Remove
xfire_lsp_10406.dll [(Protocol handler)]
/Edit jetzt kann man es besser lesen.


Vielen Dank schonmal...
Dieser Beitrag wurde am 17.08.2005 um 21:37 Uhr von Instant editiert.
Seitenanfang Seitenende
17.08.2005, 21:53
Member
Avatar Gool

Beiträge: 4730
#35 Ok, dann entferne mit LSPfix die xfire_lsp_10406.dll

r_server.exe ist ok. Wollte nur wissen, ob es sich evtl. um BANKER-AN TROJAN handelt.

Lade Killbox, entpacke und starte es. Aktiviere die Option "Delete on Reboot" und füge ein:

c:\winnt\system32\.exe

Bestätige alle abfragen mit YES. Der PC wird neugestartet. Nun muss noch nachgeprüft werden, ob er die Datei erfolgreich löschen konnte.

Die Perflib_Perfdata_***.dat kannst Du alle löschen (bis auf die zwei neusten, die können nicht gelöscht werden)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.08.2005, 22:06
...neu hier

Beiträge: 6
#36 Okay, hab ich alles erledigt...
Wenn ich mit Killbox (zur überprüfung) erneut die datei löschen will, kommt wieder ein fenster, dass c:\winnt\system32\.exe ein backdoor sein kann. danach kommt noch ein virusalert für c:\winnt\system32\exe~1 (tilde ist hochgestellt, keine Ahnung, wie man das tippt ^^) Auch mit BehavesLike:Win32.IRC-Backdoor.

Es geht also weiter. Auf zur nächsten Antwort ;)

/Edit hmm, was ist das denn:
Neu starten
Sie sind nicht dazu berechtigt, diesen Computer herunterzufahren und neu zu starten.
Ok

-.-
Dieser Beitrag wurde am 17.08.2005 um 22:13 Uhr von Instant editiert.
Seitenanfang Seitenende
17.08.2005, 22:55
Member
Avatar Gool

Beiträge: 4730
#37 Machs mal aus dem abgesicherten Modus heraus.

Lade Dir eScan und scanne damit Dein System. Poste dann das Ergebnis, wie auf der Seite beschrieben.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
17.08.2005, 23:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 Hallo@Instant

17.08.2005 20:23 16.384 Perflib_Perfdata_474.dat
17.08.2005 19:40 8.219 .exe
17.08.2005 19:00 16.384 Perflib_Perfdata_544.dat

bitte ueberpruefen:

C:\WINNT\system32\.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 12:58
...neu hier

Beiträge: 6
#39 So, da bin ich wieder,

C:\WINNT\system32\.exe ist zum überprüfen leider zu groß. ich werde das mit dem löschen dann gleich nochmal im abgesicherten versuchen
Seitenanfang Seitenende
18.08.2005, 13:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 ueberpruefe dann bitte, ob die .exe weg ist (nach dem Neustart)

Zitat

17.08.2005 20:23 16.384 Perflib_Perfdata_474.dat
17.08.2005 19:40 8.219 .exe
17.08.2005 19:00 16.384 Perflib_Perfdata_544.dat

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 15:06
...neu hier

Beiträge: 6
#41 eScan meldet:

1: C:\WINNT\system32\r_server.exe => tagged:RemoteAdmin.Win32.RAdmin.21.
2: C:\WINNT\system32\.exe => Backdoor.Win32.IRCBot.ex
3: C:\WINNT\system32\admdll.dll => tagged:RemoteAdmin.Win32.RAdmin.20.
4: C:\WINNT\system32\raddrv.dll => tagged:RemoteAdmin.Win32.RAdmin.20.
5: C:\Programme\Radmin\AdmDll.dll => tagged:RemoteAdmin.Win32.RAdmin.20.
6: C:\Programme\Radmin\raddrv.dll => tagged:RemoteAdmin.Win32.RAdmin.20.
7: C:\Programme\Radmin\radmin.exe => tagged:RemoteAdmin.Win32.RAdmin.21.
8: C:\Programme\Radmin\r_server.exe => tagged:RemoteAdmin.Win32.RAdmin.21.
9: C:\Programme\Samurize\Scripts\Datum-URL.vbs => Trojan-Downloader.JS.gen
10: D:\Sierra\Counter-Strike\hltv.exe => tagged:Server-Proxy.Win32.Hltv.

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Aug 18 14:12:47 2005 => Total Objects Scanned: 164091
Thu Aug 18 14:12:47 2005 => Total Virus(es) Found: 58
Thu Aug 18 14:12:47 2005 => Total Errors: 373
Thu Aug 18 14:12:47 2005 => Virus Database Date: 2005/08/17
Thu Aug 18 14:12:47 2005 => Virus Database Count: 144049

Die .exe ist zum glück weg... hab den scan noch vor dem neustart durchgeführt, nicht, dass ihr euch noch darüber wundert, warum die oben noch da ist.
Dieser Beitrag wurde am 18.08.2005 um 15:11 Uhr von Instant editiert.
Seitenanfang Seitenende
18.08.2005, 16:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42
•KillBox

http://virus-protect.org/killbox.html

C:\WINNT\system32\.exe
C:\Programme\Samurize\Scripts\Datum-URL.vb

PC neustarten

P.S. den :RemoteAdmin. wuerde ich an deiner Stelle ebenfalls loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2005, 20:48
...neu hier

Beiträge: 6
#43 Okay, vielen Dank!

Alles ist wieder bestens ;)
Ich hoffe wir sehen uns nicht so bald wieder, natürlich werde ich euch emfpehlen

Instant
Seitenanfang Seitenende
03.09.2006, 14:58
...neu hier

Beiträge: 10
#44 Hallo, habe leider auch den Virus...

Logfile of HijackThis v1.99.1
Scan saved at 15:09:30, on 03.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\Fmctrl.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\Lexmark 5200 series\lxbtbmgr.exe
C:\Programme\Lexmark 5200 series\lxbtbmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\JavaSoft\JRE1.4\14268D~1.2\bin\javaw.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\DOKUME~1\Jabo\LOKALE~1\Temp\Rar$EX01.911\KillBox.exe
C:\Dokumente und Einstellungen\Jabo\Desktop\HijackThis(2).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: XBTP05231 - {031F120A-BBAF-45d8-B306-375F2A6B9398} - C:\PROGRA~1\ALCOHO~1\ALCOHO~2\a120_tb.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\5.bin\MWSBAR.DLL (file missing)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Alcohol Soft - Alcohol 120% Toolbar - {1CE4EE89-2D5C-4361-AF3B-D902AB545381} - C:\Programme\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Reboot.exe
O4 - Startup: uboot joe autostart check.LNK = C:\Programme\uboot joe\ubootjoeautostartcheck.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 03.09.2006 um 15:10 Uhr von Jabo editiert.
Seitenanfang Seitenende
03.09.2006, 16:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Jabo

ich reinige normalerweise keine Rechner ohne Windowsupdates, da sinnlos........

1.
deinstalliere:
C:\Programme\MyWebSearch
C:\Programme\Macrogaming

look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: