"Your computer is infected"Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
06.08.2005, 22:18
...neu hier
Beiträge: 1 |
||
 
|
|
|
|
06.08.2005, 22:57
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@Dangerous26
Gehe in die registry Start-->Ausfuehren-->regedit HKLM\SYSTEM\CurrentControlSet\Services\memlow\<--mit rechtsklick loeschen HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\<--mit rechtsklick loeschen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe O4 - HKLM\..\Run: [_Cat3] C:\WINDOWS\msmsgrxp.exe O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\appwiz.dll c:\windows\system32\mdms.exe C:\WINDOWS\msmsgrxp.exe C:\WINDOWS\System32\paytime.exe C:\winstall.exe C:\WINDOWS\tool2.exe C:\WINDOWS\SYSTEM32\drct16.dll C:\WINDOWS\system32\hz.sys C:\WINDOWS\SYSTEM32\drct16.dll C:\WINDOWS\SYSTEM32\WINLOW.SYS C:\WINDOWS\ms2.exe C:\WINDOWS\System32\wz.sys C:\WINDOWS\System32\hiden.exe C:\WINDOWS\System32\p2.ini C:\WINDOWS\System32\tmpf00.exe C:\WINDOWS\System32\mszx.exe C:\WINDOWS\System32\vdnt32.sys C:\WINDOWS\System32\klogini.dll C:\WINDOWS\System32\i.a3d C:\WINDOWS\System32\fltr.a3d C:\WINDOWS\System32\redir.a3d C:\WINDOWS\System32\ps.a3d C:\WINDOWS\System32\w32tm.exe C:\WINDOWS\System32\cz.dll C:\WINDOWS\System32\hz.dll C:\WINDOWS\System32\wz.dll C:\WINDOWS\system32\mszx23.exe C:\WINDOWS\SYSTEM32\tcpG4T.dll PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html backdoor.haxdoor.d http://bilder.informationsarchiv.net/Nikitas_Tools/HSFix.zip 1. Extract the folder to C:\ 2. So now you have a folder C:\HSFIX 3. Boot to Safe mode 4. open the hsfix folder and Double click on hsfix.bat 5. You'll lose your desktop and taskbar. That's normal because This process kills explorer 6. Double click on hsfix.bat to run it again 7. reboot 8. Find this file :- C:\hslog.txt 9. Post its contents into your next reply Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd-->DOS oeffnet sich--> kopiere nur die Eintraege der letzten 30 Tage raus (mit pfad) einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit escan-->alles abarbeiten und posten http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.08.2005, 00:48
Member
Beiträge: 64 |
#3
Hallo Sabina,
ich weiß, es gibt schon extrem viele Fragen zu dem Trojaner oder Browser-Hijacker.... tut mir furchtbar leid, aber ich sehe meine dumme Frage als einzige Möglichkeit mich vor einer Neuformatierung zu retten...... Habe schon einiges gelesen und möchte dir hiermit das Logfile von Hijackthis posten. Hoffe auf baldige Hilfe, wäre dir ewig dankbar. Viele Grüße, Silvia Logfile of HijackThis v1.99.1 Scan saved at 00:37:32, on 08.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\popuper.exe C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\WINDOWS\system32\intmon.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB621.tmp O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [VshSrv32] C:\WINDOWS\vshsrv.exe O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26899f1f7280cde64917/netzip/RdxIE601_de.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp03.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing) O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing) |
|
|
|
|
|
|
08.08.2005, 12:51
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@danielsch
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hpB621.tmp O4 - HKLM\..\Run: [VshSrv32] C:\WINDOWS\vshsrv.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe PC neustarten deinstallieren C:\Programme\PSGuard •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\vshsrv.exe C:\WINDOWS\system32\msmsgs.exe C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\popuper.exe C:\WINDOWS\system32\hpB621.tmp C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\intmon.exe PC neustarten Zitat Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.Lade :smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ Oeffne smitRem folder, Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread Ewido-->scanne + poste das log vom Scan http://virus-protect.org/antivirenfree.html CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.08.2005, 14:02
Member
Beiträge: 64 |
#5
Hallo Sabina,
vielen Dank, dass du mir hilfst!! Also, ich werde alles der Reihe nach versuchen, kann aber sein, dass ich wegen meines Sohnes ab und an mal weg muß..... Übrigens, klappt das, wenn ich die Tools mit dem zweiten Rechner runterlade und auf dem USB-Stick mit rüber auf den infizierten nehme? Kann nämlich teilweise mit IE nur noch auf die Browser-Jacker-Seiten...... Gruß, Silvia |
|
|
|
|
|
|
08.08.2005, 14:22
Ehrenmitglied
Beiträge: 29434 |
#6
wenn du mit hijackThis fixt und die Reg-Datei anwendest und mit der killbox die von mir angegebenen Dateien loeschst,muesste das schlimmste behoben sein, den rest machen dann die Antivirentools
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.08.2005, 15:30
Member
Beiträge: 64 |
#7
Hallöle, also, bin bis zum abgesicherten Modus gekommen. Hab´ scheinbar was nicht kapiert:"Den folgenden Text in den Editor kopieren......." => welchen folgenden Text?!?! Habe die http://bleep..... reingeschrieben und als fixme.reg gespeichert. Nach Hochfahren im Abgesicherten Modus und Doppelklick der fixme.reg auf dem Desktop bekomme ich die Meldung: .... die Datei ist keine Registrierungsdatei. Registrierungsdateien können nur innerhalb des Registrierungs-Editors importiert werden."
Jetzt steht´s bei mir an...... Bin mir sicher, du weißt sofort, was ich falsch gemacht habe. Danke, Silvi Noch was: Habe PSGuard nicht über die Systemsteuerung/Software gefunden - habe dann über Arbeitsplatz manuell gelöscht (danach Papierkorb geleert) - aber ist das richtig (ist ja eigentlich nicht deinstalliert)? Alles andere habe ich wie von dir beschrieben gefixt und mit Killbox gelöscht, jetzt hänge ich im abgesicherten Modus mit einer nicht funktionierenden fixme.reg....... Übrigens, im abgesicherten Modus komme ich nicht ins Internet, um den Link zu der .....reg-Datei zu folgen! Neues: Habe mit dem USB-Stick alles rübergeschaufelt und weitergemacht. Also, hier der Text der smitfiles.txt: smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ShudderLTD key present! Running LTDFix! ShudderLTD key was successfully removed!  Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll wppp.html intmonp.exe msmsgs.exe ole32vbs.exe msole32.exe hp***.tmp shnlog.exe intmon.exe hhk.dll logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ sites.ini popuper.exe ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ wininet.dll INFECTED!!  Starting replacement procedure.~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~ ~~~~ dllcache\wininet.dll not present! ~~~~ ~~~~ Looking for C:\WINDOWS\$hf_mig$\KB890923\SP2QFE\wininet.dll ~~~~ ~~~~ C:\WINDOWS\$hf_mig$\KB890923\SP2QFE Present! ~~~~ ~~~~ Checking KB890923\SP2QFE\wininet.dll for infection ~~~~ ~~~~ KB890923\SP2QFE Clean! ~~~~ ~~~ Replaced wininet.dll from KB890923\SP2QFE ~~~ Danach habe ich dann mit CCleaner weitergemacht sowie im IE die neue Startseite eingestellt usw... Dann wollte ich wieder im normalen Modus hochfahren, wobei folgendes (jetzt schon 5x nacheinander) passiert: Ich melde mich an, dann kommt (Teilerfolg!!!) der blaue Hintergrund (statt dem wieherndem Pferd und dem schwarzen Hintergrund sowie der Schrift "Warnung.....") und meine Icons; dann führt Autostart einige Programme aus wie z.B. den Fuchs von AnyDVD und das Kaspersky-Controll-Center sowie das 1&1 Login.... aber mittendrin (nicht immer beim gleichen Icon!!) beginnt der Rechner ohne Voranmeldung sofort mit einem Neustart..... Habe mich dann mit meiner zweiten Anmeldung als "Gast" angemeldet=> da klappt´s!!!! Als Administrator klappt es nicht! An was könnte das liegen?! In der Ereignisprotokollanzeige fällt auf, dass beim Anmelden als Administrator imm ein Fehler der Quelle DCOM / Ereignis 10005 drinsteht..... Hat das was damit zu tun?! Bin aber positiv gestimmt, ich hoffe, das ist nur noch eine "Kleinigkeit" => ansonsten: unglaublich, Zauberei, ......... Fantastisch!! Gruß, Silvia Dieser Beitrag wurde am 08.08.2005 um 19:56 Uhr von danielsch editiert.
|
|
|
|
|
|
|
08.08.2005, 23:40
Ehrenmitglied
Beiträge: 29434 |
#8
du musst alles abkopieren, was auf dieser Seite steht
im normalmodus)http://www.bleepingcomputer.com/files/reg/smitfraud.reg also auch die Regedit4 , alles abkopieren Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken Zitat REGEDIT4•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html C:\WINDOWS\system32\oleext.dll C:\WINDOWS\system32\wppp.html C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\msmsgs.exe C:\WINDOWS\system32\ole32vbs.exe C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\system32\intmon.exe C:\WINDOWS\system32\hhk.dll C:\WINDOWS\system32\logfiles C:\WINDOWS\vshsrv.exe C:\WINDOWS\sites.ini C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\system32\hpB621.tmp C:\WINDOWS\popuper.exe PC neustarten wenn das geschafft ist, melde dich wieder, dann loesen wir noch das problem mit der wininet.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.08.2005, 09:33
Member
Beiträge: 64 |
#9
Hallo, also, der Rechner läuft wieder. Habe beim Scan mit Ewido noch einen Trojaner entdeckt, der dann erfolgreich gelöscht wurde. Ich kann dir sagen, ich bin mehr als happy!!!!!! Kann man durch einen "Abschlusstest" jetzt noch irgendwie beurteilen, ob das System jetzt wieder sauber und stabil ist? Vielleicht ein Log mit HJT? Puh, bis vor einem Tag kannte ich noch keinerlei solcher Programme und Logs und Scanns usw.......
Vielen Dank schon mal im Vorraus für die professionelle Hilfe. Übrigens, wenn man nicht PayPal hat, wie kann man sich ansonsten freiwillig bedanken?! Gruß, Silvia |
|
|
|
|
|
|
09.08.2005, 10:54
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@danielsch
nun muessen wir noch nachpruefen, ob alles o.k. ist. Leider hast du mir nicht den Scanreport vom ewido gepostet...vielleicht findest du das Log noch  dazu machst du folgendes: Start--> Ausfuehren--> cmd reinschreiben-->(das schwarze DOS-Fenster wird sich oeffnen) kopiere nur die Eintraege der letzten 30 Tage raus (mit pfad) einzeln reinkopieren dann oeffnet sich automatisch der Texteditor)cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.08.2005, 16:00
Member
Beiträge: 64 |
#11
Hallo Sabina,
also, den Scanreport von ewida habe ich nicht gefunden. Als ich den von ewido entdeckten Trojaner entfernt hatte, war nichts mehr von einem Log zu finden.... liegt wahrscheinlich an mir. Wenn es wichtig ist, kann ich natürlich den Scan nochmal machen. Die anderen von dir gewünschten Tests habe ich gemacht und sende dir hiermit die Ergebnisse: 1410437 ExitInstance started E:\MSVC\PlayR\Masterke.cpp line 1948 1410437 ExitInstance ended E:\MSVC\PlayR\Masterke.cpp line 1956 Verzeichnis von C:\ 10.08.2005 15:54 0 sys.txt 10.08.2005 15:53 6.192 system.txt 10.08.2005 15:53 428 systemtemp.txt 10.08.2005 15:52 109.436 system32.txt 10.08.2005 15:26 805.306.368 pagefile.sys 08.08.2005 19:14 1.724 smitfiles.txt 28.06.2005 19:39 211 boot.ini 19.05.2005 21:04 132 shutdown.log 05.05.2005 20:59 2.280 burner.log 10.11.2004 21:40 184 isdnerr.txt 05.11.2004 21:22 184 Setup.log 29.09.2004 17:22 47.564 NTDETECT.COM 29.09.2004 17:22 251.184 ntldr 12.07.2004 14:00 0 IO.SYS 12.07.2004 14:00 0 CONFIG.SYS 12.07.2004 14:00 0 AUTOEXEC.BAT 12.07.2004 14:00 0 MSDOS.SYS 23.08.2001 16:00 4.952 bootfont.bin 18 Datei(en) 805.730.839 Bytes 0 Verzeichnis(se), 95.164.112.896 Bytes frei Verzeichnis von C:\WINDOWS\system32 10.08.2005 15:47 44 ncompat.tlb 10.08.2005 15:27 14.848 lDD11.tmp 10.08.2005 15:26 2.206 wpa.dbl 08.08.2005 22:30 14.848 lCFF2.tmp 08.08.2005 22:19 14.848 lAECE.tmp 08.08.2005 20:10 14.848 lA7D8.tmp 08.08.2005 20:03 14.848 lAC7C.tmp 08.08.2005 19:39 14.848 lC9F7.tmp 08.08.2005 19:18 14.848 lD2A.tmp 08.08.2005 19:16 14.848 lAE8F.tmp 08.08.2005 19:15 14.848 lB9E9.tmp 08.08.2005 15:17 14.848 l980.tmp 08.08.2005 14:59 14.848 lEC25.tmp 08.08.2005 13:55 14.848 l96C.tmp 08.08.2005 01:06 14.848 lB640.tmp 08.08.2005 00:20 14.848 lB2D5.tmp 07.08.2005 23:05 4.286 spam.ico 07.08.2005 23:05 766 spyware.ico 07.08.2005 23:05 2.238 pharm.ico 07.08.2005 23:05 2.238 network.ico 07.08.2005 23:05 2.238 Date.ico 07.08.2005 23:01 14.848 lADB4.tmp 07.08.2005 22:57 14.848 lC2E3.tmp 07.08.2005 22:57 10.121 mscornet.exe 07.08.2005 13:11 261.432 FNTCACHE.DAT 05.08.2005 03:31 1.457.496 MRT.exe 26.07.2005 20:01 789 qtplugin.log 26.07.2005 19:48 176.167 rmoc3260.dll 26.07.2005 19:48 5.632 pndx5032.dll 26.07.2005 19:48 6.656 pndx5016.dll 26.07.2005 19:48 278.528 pncrt.dll 20.07.2005 04:05 3.014.144 SET57.tmp 11.07.2005 19:27 310.262 AdobeFnt07.lst 08.07.2005 18:28 76.800 remotesp.tsp 08.07.2005 18:28 249.344 SET61.tmp 03.07.2005 04:11 665.088 SET50.tmp 03.07.2005 04:11 606.208 SET51.tmp 03.07.2005 04:11 474.112 SET52.tmp 03.07.2005 04:11 1.485.312 SET53.tmp 03.07.2005 04:11 39.424 pngfilt.dll 03.07.2005 04:11 146.432 msrating.dll 03.07.2005 04:11 448.512 mshtmled.dll 03.07.2005 04:11 1.019.904 SET5B.tmp 03.07.2005 04:11 152.064 cdfview.dll 03.07.2005 04:11 251.904 iepeers.dll 03.07.2005 04:11 96.768 inseng.dll 30.06.2005 04:05 119.296 SET4D.tmp 29.06.2005 03:49 254.976 icm32.dll 29.06.2005 03:49 74.240 mscms.dll 28.06.2005 19:04 53.352 jpicpl32.cpl 28.06.2005 19:04 28.768 javaw.exe 28.06.2005 19:04 24.670 java.exe 15.06.2005 19:49 295.936 SET69.tmp 11.06.2005 01:53 57.856 SET5E.tmp 27.05.2005 04:04 41.472 hhsetup.dll 27.05.2005 04:04 155.136 itircl.dll 27.05.2005 04:04 137.216 itss.dll 27.05.2005 04:04 546.304 hhctrl.ocx 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 194.840 wuaueng1.dll 26.05.2005 04:16 174.872 wuaucpl.cpl 26.05.2005 04:16 128.280 wucltui.dll 17.05.2005 02:42 17.408 xpsp3res.dll 11.05.2005 04:30 78.336 telnet.exe 04.05.2005 14:45 2.890.240 msi.dll 02.05.2005 22:58 664.576 wininet.dll 02.05.2005 22:58 474.112 shlwapi.dll 02.05.2005 22:58 606.208 urlmon.dll 02.05.2005 22:58 1.484.800 shdocvw.dll 02.05.2005 22:58 3.012.608 mshtml.dll 02.05.2005 22:58 1.019.904 browseui.dll 28.04.2005 21:31 395.776 SET43.tmp 28.04.2005 21:31 37.888 olecnv32.dll 28.04.2005 21:31 74.752 SET44.tmp 28.04.2005 21:31 1.285.120 SET45.tmp 04.04.2005 21:14 73.220 gxDBEngine2.DLL 01.04.2005 16:00 221.184 mgxoschk.dll 27.03.2005 19:37 311.604 perfh009.dat 27.03.2005 19:37 316.594 perfh007.dat 27.03.2005 19:37 48.156 perfc007.dat 27.03.2005 19:37 39.992 perfc009.dat 27.03.2005 19:37 723.744 PerfStringBackup.INI 25.03.2005 10:02 380.928 AudioGenie.ocx 21.03.2005 15:00 271.360 msihnd.dll 21.03.2005 15:00 78.848 msiexec.exe 21.03.2005 15:00 884.736 msimsg.dll 21.03.2005 15:00 15.360 msisip.dll 19.03.2005 01:38 39.424 bass_ape.dll 19.03.2005 01:06 48.128 bass_spx.dll 12.03.2005 12:44 172.032 bassext.dll 09.03.2005 19:11 47.160 basswma.dll 02.03.2005 20:09 291.840 winsrv.dll 02.03.2005 20:09 56.832 authz.dll 02.03.2005 20:09 578.560 user32.dll |
|
|
|
|
|
|
10.08.2005, 16:16
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@danielsch
CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" von hier raus reinkopieren: C:\WINDOWS\system32\spam.ico C:\WINDOWS\system32\spyware.ico C:\WINDOWS\system32\pharm.ico C:\WINDOWS\system32\network.ico C:\WINDOWS\system32\Date.ico C:\WINDOWS\system32\lADB4.tmp C:\WINDOWS\system32\lC2E3.tmp C:\WINDOWS\system32\lDD11.tmp C:\WINDOWS\system32\lCFF2.tmp C:\WINDOWS\system32\lAECE.tmp C:\WINDOWS\system32\lA7D8.tmp C:\WINDOWS\system32\lAC7C.tmp C:\WINDOWS\system32\lC9F7.tmp C:\WINDOWS\system32\lD2A.tmp C:\WINDOWS\system32\lAE8F.tmp C:\WINDOWS\system32\lB9E9.tmp C:\WINDOWS\system32\l980.tmp C:\WINDOWS\system32\lEC25.tmp C:\WINDOWS\system32\l96C.tmp C:\WINDOWS\system32\lB640.tmp C:\WINDOWS\system32\lB2D5.tmp C:\WINDOWS\system32\mscornet.exe PC neustarten #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein dann poste das neue log vom HijackThis. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.08.2005, 21:29
Member
Beiträge: 64 |
#13
Uuuuups, und ich dachte, ich wäre die Seuche los. Habe Ccleaner laufen lassen und dann mit Killbox gelöscht. Als ich da die letzte Datei reinkopiert hatte, hat das blöde Pferd wieder gewiehert....!! Auch nach dem Neustart habe ich wieder ein Wiehern gehört - das war gestern nicht mehr so.
Wie ich am HJT-Log sehe, habe ich noch einiges drauf, von dem ich gedacht hätte, ich habe es gekillt!! Bitte schau dir das Log nochmal an und sage mir, wie ich die blöden Dateien runterbringe. Eigentlich weiß ich´s jetzt fast schon selbst - ich tippe auf HJT / Button Fix checked / PC neu starten. Aber da warte ich lieber auf deine Meinung. Viele Grüße, Silvi Hier das HJT-Log: C:\WINDOWS\explorer.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.313\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/ F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing) O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing) Habe mal mit HJT .... fix checked usw.. probiert und danach ein neuer Log erstellt: Logfile of HijackThis v1.99.1 Scan saved at 22:05:51, on 10.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing) O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing) Dieser Beitrag wurde am 10.08.2005 um 22:07 Uhr von danielsch editiert.
|
|
|
|
|
|
|
10.08.2005, 22:38
Ehrenmitglied
Beiträge: 29434 |
#14
Zitat Als ich da die letzte Datei reinkopiert hatte, hat das blöde Pferd wieder gewiehert....!! Auch nach dem Neustart habe ich wieder ein Wiehern gehörtNun, ich habe ja schon viel im Forum gelesen, aber so was noch nicht  was meinst du damit ???????????????--> den trojaner ??? Das log ist o.k. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.08.2005, 23:34
Member
Beiträge: 64 |
#15
Naja, mit ewido gestern habe ich einen trojaner entfernt und da ich ja keine Fachfrau bin, habe ich gedacht, dass der für all das verantwortlich ist / war. Mein Rechner hatte doch einen schwarzen Hintergrund und in roten Lettern war "WARNING. Your System is infected by......." gestanden, und in regelmäßigen Abständen hörte man Geräusche aus den Lautsprechern - diese hörten sich an wie ein Wiehern......... Aber was solls. Du sagst, das Log ist o.k., dann müßte ja eigentlich alles wieder bereinigt sein, oder?
Eine abschließende Frage hätte ich noch: Was würdest du mir für einen Browser empfehlen? Was hältst du von avantbrowser? Sollte / kann ich eigentlich Ccleaner so ab und an mal ausführen? Gruß und gute Nacht, Silvia |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hab ständig zwei rote Kreise mit einem weissen X, die mir die Meldung anzeigen "Your computer is infected", ich habs mit Ad-Aware und Spybote S&D probiert, aber ich krieg das nicht weg!!!! Hier unten habe ich die Hijackthis-Log eingefügt, bitte helft mir, bevor ich den Rechner zum Fenster rausschmeiss :-), :-(((.
Logfile of HijackThis v1.99.1
Scan saved at 22:16:43, on 06.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\msmsgrxp.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [_Cat3] C:\WINDOWS\msmsgrxp.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
Ich würde mich wirklich freuen, wenn mir da jemand helfen könnte! Vielen Dank im voraus!