winfixer 2005 problem

#211 So, habe Hijack gemäß Deinen Anweisungen ausgeführt und gleich nochmal ein Log angehängt.


Logfile of HijackThis v1.99.1
Scan saved at 14:20:10, on 06.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Andy\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDHhd+DajGGoGxSwQ
bU3GZ0Nv0RZ+GRcuAG2OH9Q0yAEL+VizoDmRFOGwC/56e2wUe2P7Tg09RrIA1UKdOu345LeR2DkDq
cgSwik5VCckjpPwY2ugML4RJ+D8q7kf/gV+uAhErKCzm3OJmaszv5GDZAAgunBPbYKh4pDiV
0g/2aITKrwXHzrBcvhnsruVHP7/6bjqIPl0I=
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Programme\Starware\bin\Starware.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Programme\Starware\bin\Starware.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE



Habe danach den CCleaner ausgeführt und die Temp-Dateien gelöscht. (Hoffentlich nicht auch was wichtiges gg)

Bei Sandbox habe ich die folgenden Dateien nicht auf meiner Platte gefunden

C:\WINDOWS\system32\winlog.exe
oder:
C:\WINDOWS\winlog.exe

Diese hatte ich auf der Platte mit der anschließenden Antwort.

C:\Programme\Gemeinsame Dateien\Windows\services32.exe

services32.exe : Not detected by sandbox (Signature: W32/Maxifiles.D)

Und dieses kam bei jotti...

Datei: services32.exe
Status: Datei wird hochgeladen, bitte warten...
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Trojan.Rbot.Hp gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Adware/Shorty gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Maxifiles.h gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/Maxifiles.D gefunden
UNA Keine Viren gefunden
VBA32 AdWare.Win32.Maxifiles.h gefunden

Und nun die 4 LOGs

Datentr„ger in Laufwerk C: ist System und Programme
Volumeseriennummer: 90FA-D032

Verzeichnis von C:\WINDOWS\system32

03.11.2005 18:00 141.240 FNTCACHE.DAT
02.11.2005 17:32 13.646 wpa.dbl
30.10.2005 08:50 363.734 perfh009.dat
30.10.2005 08:50 371.028 perfh007.dat
30.10.2005 08:50 45.408 perfc009.dat
30.10.2005 08:50 54.788 perfc007.dat
30.10.2005 08:50 843.752 PerfStringBackup.INI
05.10.2005 03:09 2.301.792 MRT.exe
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 1.055.744 danim.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
29.08.2005 12:27 520.968 LegitCheckControl.DLL
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
10.08.2005 17:37 34.064 lhacm.acm
10.08.2005 14:13 43.520 CmdLineExt03.dll


Datentr„ger in Laufwerk C: ist System und Programme
Volumeseriennummer: 90FA-D032

Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp

06.11.2005 14:13 16.384 ~DF9300.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 27.392.221.184 Bytes frei



Datentr„ger in Laufwerk C: ist System und Programme
Volumeseriennummer: 90FA-D032

Verzeichnis von C:\WINDOWS

06.11.2005 14:16 159 wiadebug.log
06.11.2005 14:16 50 wiaservc.log
06.11.2005 14:16 1.422.900 WindowsUpdate.log
06.11.2005 14:16 0 0.log
06.11.2005 14:16 2.048 bootstat.dat
06.11.2005 14:15 32.634 SchedLgU.Txt
06.11.2005 13:49 503.808 Tranquil - Waterfalls.scr
06.11.2005 13:49 606.848 flashax.exe
06.11.2005 13:49 12.288 impborl.dll
06.11.2005 13:39 116 NeroDigital.ini
05.11.2005 11:04 347 lexstat.ini
03.11.2005 17:50 749 win.ini
03.11.2005 17:21 1.771 09422a8cbcf7c2b1ee62cb58973dc9b2.ini
02.11.2005 16:05 227 system.ini
02.11.2005 14:04 1.926 wincmd.ini
02.11.2005 13:40 155 winamp.ini
10.09.2005 17:25 1.539 cdplayer.ini
05.09.2005 13:10 643 Verkn�pfung mit Gw.lnk
23.08.2005 08:49 1.246 ARCHPR.INI
20.08.2005 16:25 1.080 gramit32.cfg
07.08.2005 14:55 37 Viewer.ini
27.07.2005 15:59 316.640 WMSysPr9.prx
27.05.2005 00:22 10.752 hh.exe
29.04.2005 10:36 403 ODBC.INI
29.04.2005 10:36 63 mdm.ini
29.04.2005 10:36 59 vbaddin.ini
14.04.2005 17:56 196 apdfpr.ini
01.04.2005 15:47 120 wcx_ftp.ini
18.03.2005 14:59 2.598 Ascd_tmp.ini
17.03.2005 17:03 10 Wininit.ini
17.03.2005 08:21 40.960 _ds4.tmp
11.03.2005 22:19 0 NSREX.INI
11.03.2005 20:17 92 CMISETUP.INI
11.03.2005 20:17 26 CMCDPLAY.INI
11.03.2005 19:46 8.192 REGLOCS.OLD
11.03.2005 19:43 0 control.ini
11.03.2005 19:43 4.161 ODBCINST.INI
11.03.2005 19:42 749 WindowsShell.Manifest
11.03.2005 19:40 36 vb.ini
11.03.2005 19:33 0 Sti_Trace.log
02.02.2005 05:51 545 RAR.PIF
02.02.2005 05:51 545 PKUNZIP.PIF
02.02.2005 05:51 545 PKZIP.PIF
02.02.2005 05:51 545 ARJ.PIF
02.02.2005 05:51 545 UC.PIF
02.02.2005 05:51 545 LHA.PIF
02.02.2005 05:51 545 NOCLOSE.PIF


Datentr„ger in Laufwerk C: ist System und Programme
Volumeseriennummer: 90FA-D032

Verzeichnis von C:\

06.11.2005 14:39 0 sys.txt
06.11.2005 14:39 4.607 system.txt
06.11.2005 14:37 298 systemtemp.txt
06.11.2005 14:34 95.098 system32.txt
06.11.2005 14:16 1.073.270.784 hiberfil.sys
06.11.2005 14:16 2.621.440.000 pagefile.sys
02.11.2005 16:05 211 boot.ini
28.07.2005 18:32 105 lxax.log
26.05.2005 18:05 168 setupfax.log
23.03.2005 14:13 277 debugInstaller.txt
11.03.2005 19:43 0 IO.SYS
11.03.2005 19:43 0 MSDOS.SYS
11.03.2005 19:43 0 AUTOEXEC.BAT
11.03.2005 19:43 0 CONFIG.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
17 Datei(en) 3.695.115.248 Bytes
0 Verzeichnis(se), 27.392.249.856 Bytes frei


Wenn ich jetzt was falsch gemacht haben sollte sorry aber mit der Technick komm ich nicht ganz mit.

Gruß Oreon

#212 Oreon Vaal

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDH
R3 - Default URLSearchHook is missing

O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Programme\Starware\bin\Starware.dll
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe

PC neustarten

deinstalliere/loesche:--> mache das im abgesicherten Modus, also F8 druecken, wenn der PC hochfaehrt

C:\Programme\Starware
C:\Programme\SurfAccuracy

C:\WINDOWS\09422a8cbcf7c2b1ee62cb58973dc9b2.ini
C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe

counterspy
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#213

Zitat

Ichthys postete
Was meinst du mit

Zitat

kopiere ab, was drin steht :
win.ini
WININIT.BAK
tmpdelis.bat

und wo soll ich
C:\Programme\SurfAccuracy
C:\WINDOWS\NDNuninstall6_98.exe
C:\WINDOWS\TEMP\cxtpls_loader.exe
C:\WINDOWS\TEMP\war*hier nicht!*_p2p_setup.exe
C:\WINDOWS\TEMP\WinFixer2005ScannerSetup.exe
C:\WINDOWS\TEMP\ide21201.vxd
C:\WINDOWS\TEMP\iinstall.exe
löschen?

rechtsklick auf die Dateien--> mit dem Editor oeffnen->
win.ini
WININIT.BAK
tmpdelis.bat

deinstallieren/loeschen
C:\Programme\SurfAccuracy

manuell loeschen/ oder mit CCleaner arbeiten
C:\WINDOWS\TEMP\cxtpls_loader.exe
C:\WINDOWS\TEMP\war*hier nicht!*_p2p_setup.exe
C:\WINDOWS\TEMP\WinFixer2005ScannerSetup.exe
C:\WINDOWS\TEMP\ide21201.vxd
C:\WINDOWS\TEMP\iinstall.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#214 Hi Sabina,

ich hab mir leider auf den winfixer 2005 eingefangen. Ich hab mir schon die Hijack-Software runtergeladen und gescannt. Hier ist mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:43:38, on 06.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
H:\Programme\Winamp3\winampa.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Daemon-Tools\daemon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\putpmdka.exe
C:\WINDOWS\switpa.exe
C:\Program Files\Lnzpa\Gdqid.exe
C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\SurfAccuracy\SAcc.exe
H:\Programme\Acrobat Reader\Distillr\AcroTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Sonja\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ieuxl.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ieuxl.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ieuxl.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R3 - Default URLSearchHook is missing
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - h:\programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6BD51469-DF9E-3C14-DE92-02BED9A8008C} - C:\WINDOWS\mfcmd.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "H:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "H:\Programme\Clone CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IuLf9] C:\WINDOWS\putpmdka.exe
O4 - HKLM\..\Run: [switp] C:\WINDOWS\switpa.exe
O4 - HKLM\..\Run: [Ouowny] C:\Program Files\Lnzpa\Gdqid.exe
O4 - HKLM\..\Run: [AS00_Gear511] C:\Programme\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKCU\..\Run: [checkup] C:\WINDOWS\System32\systemini.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Acrobat Reader\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - H:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\ORL\VNC\WinVNC.exe" -service (file missing)
O23 - Service: Workstation NetLogon Service (�%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\apphv32.exe (file missing)


Ich hoffe, Du kannst mir helfen.
BTW: du schreibst öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Woran erkenne ich die Malware-Einträge? Oder sind das alles solche Einträge, die mir in der Hijack-Software gezeigt werden und ich muss in jedes Kästchen ein Häckchen machen?

Don Camillo, der schon mal Danke für Deine Hilfe sagt...

#215 So, der Scanreport von Counterspy und Kaspersky

Spyware Scan Details
Start Date: 06.11.2005 22:15:34
End Date: 06.11.2005 22:59:33
Total Time: 43 mins 59 secs

Detected spyware

Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\andy\cookies\andy@mediaplex[1].txt


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, November 06, 2005 22:14:09
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/11/2005
Kaspersky Anti-Virus database records: 148882
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Scan Statistics:
Total number of scanned objects: 111056
Number of viruses found: 4
Number of infected objects: 11
Number of suspicious objects: 0
Duration of the scan process: 6892 sec

Infected Object Name - Virus Name
C:\Programme\AVPersonal\INFECTED\winlog.VIR Infected: Backdoor.Win32.Rbot.adx
C:\Programme\winsupdater\a.zip/Setup.exe Infected: Worm.Win32.VB.an
C:\Programme\winsupdater\a.zip Infected: Worm.Win32.VB.an
C:\System Volume Information\_restore{4FCFFE1E-0BE3-424C-ABA2-F04E2454DE5C}\RP234\A0070138.exe Infected: Trojan-Dropper.Win32.Agent.aac
C:\System Volume Information\_restore{4FCFFE1E-0BE3-424C-ABA2-F04E2454DE5C}\RP236\A0070232.exe Infected: Trojan-Dropper.Win32.Agent.aac
E:\Neuer Ordner\Alcohol120 1953105.zip/Setup.exe Infected: Worm.Win32.VB.an
E:\Neuer Ordner\Alcohol120 1953105.zip Infected: Worm.Win32.VB.an
E:\Neuer Ordner\Civilization 3.zip/Setup.exe Infected: Worm.Win32.VB.an
E:\Neuer Ordner\Civilization 3.zip Infected: Worm.Win32.VB.an
E:\System Volume Information\_restore{4FCFFE1E-0BE3-424C-ABA2-F04E2454DE5C}\RP163\A0053747.exe/data0002 Infected: Trojan-Spy.Win32.Qeds.a
E:\System Volume Information\_restore{4FCFFE1E-0BE3-424C-ABA2-F04E2454DE5C}\RP163\A0053747.exe Infected: Trojan-Spy.Win32.Qeds.a

Scan process completed.

#216 Don_Camillo

ich empfehle zu formatieren, der Winfixer ist hier nur das kleinere Uebel....der PC ist voellig verseucht.

nach dem Formatieren aendere alle Passworte, falls du wichtige hast (Banking usw...), denn der Startseitentrojaner u,a. registriert alles.
Dann solltest du auch die WindowsUpdates machen und mehr beim Surfen aufpassen .
__________
MfG Sabina

rund um die PC-Sicherheit

#217 Oreon Vaal

winlog ist ein Backdoor, wurde vom Antivirus mehr oder weniger abgefangen...dennoch wuerde ich wenn der PC wichtige Daten enthaelt und ihr Banking macht oder aehnliches--> formatieren......
-----------------------------------------------------------------------------------
loeschen:
C:\Programme\winsupdater\a.zip
C:\Programme\winsupdater
E:\Neuer Ordner\Alcohol120 1953105.zip
E:\Neuer Ordner\Civilization 3.zip

scanne mit ewido, der loescht den Rest -->poste den scanreport
http://virus-protect.org/ewido.html

dann deaktiviere die Systemwiederherstellung , dann aktiviere sie wieder
__________
MfG Sabina

rund um die PC-Sicherheit

#218 Spyware Scan Details
Start Date: 07.11.2005 00:03:25
End Date: 07.11.2005 00:54:03
Total Time: 50 mins 38 secs

Detected spyware

Netsky Worm more information...
Details: Netsky is a mass-mailing worm.
Status: Quarantined

Infected files detected
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\document_full.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\document_word.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\msg.htm.scr
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_archive.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_details.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_document.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_document1.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_picture.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_picture1.pif


Worm.Mytob.WindowsSystem Worm more information...
Details: Worm.Mytob.WindowsSystem is a mass-mailing worm with IRC backdoor functionality.
Status: Quarantined

Infected files detected
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\file.exe
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\message.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\text.scr
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\Tranceheart\Attach\message.exe


Doly Trojan RAT more information...
Details: Doly Trojan is a backdoor RAT Trojan software that allows an attacker to control other people's computers by the Internet and execute a number of command without the user’s knowledge or consent.
Status: Quarantined

Infected files detected
D:\Weitere\1Ordner D\old\files4fun\hexeditor\SETUP.EXE


Cok.ad.yieldmanager Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\carsten\cookies\carsten@ad.yieldmanager[2].txt


SpyLog.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\carsten\cookies\carsten@spylog[1].txt

#219 tranceheart

versuche das mit der Killbox zu loeschen:
http://virus-protect.org/killbox.html

D:\Weitere\1Ordner D\old\files4fun\hexeditor\SETUP.EXE

C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\file.exe
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\message.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\text.scr
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\Tranceheart\Attach\message.exe

C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\document_full.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\document_word.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\msg.htm.scr
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_archive.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_details.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_document.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_document1.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_picture.pif
C:\Dokumente und Einstellungen\carsten\Anwendungsdaten\The Bat!\golyr\Attach\your_picture1.pif

PC neustarten

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#220

Zitat

Sabina postete
Don_Camillo

ich empfehle zu formatieren, der Winfixer ist hier nur das kleinere Uebel....der PC ist voellig verseucht.

nach dem Formatieren aendere alle Passworte, falls du wichtige hast (Banking usw...), denn der Startseitentrojaner u,a. registriert alles.
Dann solltest du auch die WindowsUpdates machen und mehr beim Surfen aufpassen .

Danke für die rasche Antwort, auch wenn sie für mich nicht so gut ausgefallen ist. Werde am kommenden Weekend gemeinsam mit einem Profi den PC neu aufsetzen und hoffe, dass dann für längere Zeit wieder Ruhe ist...

Don Camillo, der sich das Forum hier merken und weiter empfehlen wird.