winfixer 2005 problemThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.10.2005, 12:59
Ehrenmitglied
Beiträge: 29434 |
||
|
||
20.10.2005, 21:10
Member
Beiträge: 12 |
#47
---------------------------------------------------------
ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 16:46:17, 20.10.2005 + Report-Checksumme: 746FDED9 + Scanergebnis: C:\Dokumente und Einstellungen\MichBeck\.jpi_cache\file\1.0\time.class-50c9903d-6d0b5e7f.class -> TrojanDownloader.Small.bhf : Gesäubert mit Backup C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL -> Spyware.MyWay : Gesäubert mit Backup ::Report Ende ------------------------------------------ Logfile of HijackThis v1.99.1 Scan saved at 14:02:07, on 20.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Meine Downloads\hijackthis_1991\hijackthis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.oldorf.swh.mhn.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\System32\StopzillaBHO.dll O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Remote Master] C:\Programme\Remote Master\Remote Master.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/03c4392c2e4501428516/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100204121265 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4555/mcfscan.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe So, ich hoff ich hab alles richtig gemacht... (bis jetzt kamen die Pop Ups Nicht mehr (noch))! |
|
|
||
21.10.2005, 00:14
Ehrenmitglied
Beiträge: 29434 |
#48
Hallo@MichBeck10
scanne im Normalmodus (onlinescan) mit kaspersky http://virus-protect.org/onlinescan.html und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.10.2005, 10:39
Member
Beiträge: 12 |
#49
Der Scan hat nichts gefunden (Report empty) - und nachdem bis jetzt immer noch kein WinFixer gekommen ist, denk ich, dass es das war!!
Vielen Dank!! |
|
|
||
23.10.2005, 19:48
Member
Beiträge: 22 |
#50
Hallo,
auch ich habe das Problem mit den nervigen Winfixer-PopUps. Ich kenne mich jedoch leider auf diesem Gebiet nicht wirklich aus, hab es aber nun, so hoffe ich, hingekriegt, diese Hijack-Log zu erstellen. Wäre für weitere Anweisungen und Hilfe dankbar. Hier das Log: Logfile of HijackThis v1.99.1 Scan saved at 19:33:43, on 23.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTsvcCDA.EXE c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\P2P Networking\P2P Networking.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 8.0\aoltray.exe C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\download\Anwendungen\Stardate Neu\stardate.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Ralph Ringwald\Eigene Dateien\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\iiigf.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Stardate.lnk = C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\download\Anwendungen\Stardate Neu\stardate.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.moove.com O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {853B7AC5-1DC9-484C-972B-479E790D4A4D} (CVxChatControl Object) - http://www.visit-x.net/downloads/applet/853B7AC5-1DC9-484c-972B-479E790D4A4D/8,0,0,7/cP-Client-80-light.cab O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) - http://meinefotos04.aol.de/ygp/aol/plugin/upf/YGPUPF.de-DE.9.2.4.0.cab O16 - DPF: {D3E33EA6-92BF-444E-9DF3-E7F879F2006F} (TSRFileManagerXControl Control) - http://sims2.thesimsresource.com/TSRInstallationWizard.cab O20 - Winlogon Notify: iiigf - C:\WINDOWS\system32\iiigf.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
|
|
||
23.10.2005, 21:52
Ehrenmitglied
Beiträge: 29434 |
#51
Hallo@Schraenky
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern --> dann erscheint eine vundo.reg auf dem Desktop http://virus-protect.org/reg/vundo.reg lade ewido (erst im abgesicherten modus scannen) http://virus-protect.org/ewido.html lade CCleaner (erst im abgesicherten Modus scannen)--> dann alle temporaeren Dateien loeschen http://virus-protect.org/temp.html -------------------------------------------------------------------------------------------- Download: VundoFix.exe http://virus-protect.org/artikel/tools/vundofix.html * Lade und auf dem Desktop entpacken * boote in den abgesicherten Modus (F8 druecken, wenn er PC hochfaehrt * Double-click VundoFix.exe * Klicke KillVundo.bat * nun wird folgendes angezeigt: (sieh das blaue Bild auf der Seite ) * gebe nun ein: C:\WINDOWS\system32\iiigf.dll * druecke Enter, und dann die F6 Taste, dann wieder Enter es wird ein zweiter String verlangt.....kopiere ein: C:\WINDOWS\System32\fgiii.* * dann wird sich HijackThis oeffnen: * In HiJackThis, click FIX CHECKED: O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\iiigf.dll O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O15 - Trusted Zone: *.moove.com O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O20 - Winlogon Notify: iiigf - C:\WINDOWS\system32\iiigf.dll * dach starte den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt * es wird ein "Blue Screen of Death" sein, das ist normal ...... +Die Datei "vundo.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird +loesche mit CCleaner alle temp-Dateien +scanne mit ewido (zweimal)-->poste mir dann den scanreport Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. -------------------------------------------------------------------------- scanne im Normalmodus (onlinescan) mit kaspersky http://virus-protect.org/onlinescan.html und poste den scanreport+ das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.10.2005, 22:28
...neu hier
Beiträge: 3 |
#52
hello
und ich bin schon ein weiterer winfixer geschädigter... ihr könnts wohl bald nicht mehr hören. habe auch zuwenig ahnung das ich's alleine schaffen würde. vielen dank im voraus für die hilfe tom Logfile of HijackThis v1.99.1 Scan saved at 22:27:02, on 23.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\System32\khooker.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\LTSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\Xhrmy.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\ICQ\ICQLite.exe C:\WINDOWS\svchost.exe C:\Programme\QuickTime\qttask.exe D:\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\iissrv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\mp3player\Detector\CTDetect.exe C:\POP-UP~1\PSFree.exe C:\w-lan\AIRPLUS.EXE C:\Programme\Apoint2K\Apntex.exe D:\HP\Digital Imaging\bin\hpqtra08.exe D:\HP\Digital Imaging\bin\hpqgalry.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\Thomas\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Microsoft Office\Office\WINWORD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scbern.ch/index.php R3 - URLSearchHook: UB Class - {00000000-15D9-4736-AB29-131578A45F2B} - C:\WINDOWS\system32\wsrchc3.dll F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE O2 - BHO: rtc - {0610C4E6-A0D0-45d8-B6CB-3CCD74296EBB} - C:\WINDOWS\System32\rtc.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\system32\lmf32v.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: Bluewin - {4E7BD74F-2B8D-469E-DCF7-E869A199B87D} - C:\WINDOWS\DOWNLO~1\bluewin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [MELIS] C:\WINDOWS\melis.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\ICQ\ICQLite.exe -minimize O4 - HKLM\..\Run: [wnddrv] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] D:\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iissrv] C:\WINDOWS\iissrv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Creative Detector] C:\mp3player\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\POP-UP~1\PSFree.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQ\ICQLite.exe -trayboot O4 - Global Startup: D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\LingoCom\Translator.lnk O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\LingoCom\Translator.lnk O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4E7BD74F-2B8D-469E-DCF7-E869A199B87D} (Bluewin) - http://service.bluewin.ch/toolbar/cab/bluewin.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://www.game-on.bluewin.ch/god/files/ExentCtl.ocx O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7F704843-E33D-4F07-8AA0-E5987E7AD4DF}: NameServer = 192.168.0.1 O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\system32\lmf32v.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\rtc.dll O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe |
|
|
||
23.10.2005, 23:40
Ehrenmitglied
Beiträge: 29434 |
#53
Hallo@tom-CH
http://sandbox.norman.no/live_4.html Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten (poste alles hier ) http://virusscan.jotti.org/de/ C:\WINDOWS\melis.exe C:\WINDOWS\Xhrmy.exe C:\WINDOWS\svchost.exe C:\WINDOWS\iissrv.exe C:\WINDOWS\system32\wsrchc3.dll C:\WINDOWS\System32\rtc.dll C:\WINDOWS\system32\lmf32v.dll -------------------------------------------------------------------------- Download: VundoFix.exe http://virus-protect.org/artikel/tools/vundofix.html * Lade und auf dem Desktop entpacken * boote in den abgesicherten Modus (F8 druecken, wenn er PC hochfaehrt * Double-click VundoFix.exe * Klicke KillVundo.bat * nun wird folgendes angezeigt: (sieh das blaue Bild auf der Seite ) * gebe nun ein: C:\WINDOWS\System32\rtc.dll * druecke Enter, und dann die F6 Taste, dann wieder Enter es wird ein zweiter String verlangt.....kopiere ein: C:\WINDOWS\System32\ctr.* * dann wird sich HijackThis oeffnen: * In HiJackThis, click FIX CHECKED: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scbern.ch/index.php R3 - URLSearchHook: UB Class - {00000000-15D9-4736-AB29-131578A45F2B} - C:\WINDOWS\system32\wsrchc3.dll O2 - BHO: rtc - {0610C4E6-A0D0-45d8-B6CB-3CCD74296EBB} - C:\WINDOWS\System32\rtc.dll O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\system32\lmf32v.dll O3 - Toolbar: Bluewin - {4E7BD74F-2B8D-469E-DCF7-E869A199B87D} - C:\WINDOWS\DOWNLO~1\bluewin.dll O4 - HKLM\..\Run: [MELIS] C:\WINDOWS\melis.exe O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe O4 - HKLM\..\Run: [wnddrv] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [iissrv] C:\WINDOWS\iissrv.exe O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab O16 - DPF: {4E7BD74F-2B8D-469E-DCF7-E869A199B87D} (Bluewin) - http://service.bluewin.ch/toolbar/cab/bluewin.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\system32\lmf32v.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\rtc.dll PC neustarten CCleaner (loesche alle temporaeren Dateien) , auch die index.dat anhaken http://virus-protect.org/temp.html KILLBOX http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\WINDOWS\melis.exe C:\WINDOWS\Xhrmy.exe C:\WINDOWS\svchost.exe C:\WINDOWS\iissrv.exe C:\WINDOWS\system32\wsrchc3.dll C:\WINDOWS\system32\lmf32v.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" Pc neustarten scanne mit Kaspersky (Onlie) und poste den scanbericht http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.10.2005, 14:56
Member
Beiträge: 16 |
#54
Hi Sabina,
ich weiß, du bist schon extrem beschäftigt mit den anderen winfixer 2005-problemen, aber: ich habe leider das selbe Problem...ich hab den logfile unten angeführt, habe selbst aber leider zu wenig Ahnung, was ich löschen soll... Über Hilfe von dir wäre ich sehr dankbar und erfreut Viele Grüße!!! Logfile of HijackThis v1.99.1 Scan saved at 14:40:08, on 24.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\vpn\cvpnd.exe C:\Programme\Symantec Norton Antivirus\DefWatch.exe C:\Programme\Symantec Norton Antivirus\Rtvscan.exe C:\WINDOWS\System32\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\WLTRYSVC.EXE C:\WINDOWS\System32\bcmwltry.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\PROGRA~1\SYMANT~1\vptray.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\PROGRA~1\ICQ\ICQ.exe C:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\WINDOWS\winexec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\Programme\Freecom Personal Media Suite\FCPMS.exe C:\Programme\VNC\WinVNC.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Programme\Windows Media Player\wmplayer.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX01.767\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] c:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "c:\programme\clone cd 4.4.3.1.0\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKLM\..\Run: [_WinMain] C:\WINDOWS\winexec.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Freecom Personal Media Suite.lnk = C:\Programme\Freecom Personal Media Suite\FCPMS.exe O4 - Startup: Verknüpfung mit WinVNC.lnk = C:\Programme\VNC\WinVNC.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\vpn\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (HKCU) O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Informax\Vector NTI Suite 9\Ncbi.dll O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\vpn\cvpnd.exe O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\DefWatch.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\Rtvscan.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.e |
|
|
||
24.10.2005, 15:09
Ehrenmitglied
Beiträge: 29434 |
#55
Hallo@Panther23
Gehe in die Registry Start-->ausfuehren--> regedit HKEY_CURRENT_USER \Software\Kazaa\LocalContent\ loeschen: "Dir0" = "012345:C:\<Windows>\KZData" bearbeiten--> suchen--> MSEvents loesche alle, die du findest HKEY_CLASSES_ROOT\MSEvents.MSEvents.1 HKEY_CLASSES_ROOT\MSEvents.MSEvents HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1 ------------------------------------------------------------------------------------------ lade ewido (erst im abgesicherten modus scannen) http://virus-protect.org/ewido.html lade CCleaner (erst im abgesicherten Modus scannen)--> dann alle temporaeren Dateien loeschen http://virus-protect.org/temp.html -------------------------------------------------------------------------------------------- Download: VundoFix.exe http://virus-protect.org/artikel/tools/vundofix.html * Lade und auf dem Desktop entpacken * boote in den abgesicherten Modus (F8 druecken, wenn er PC hochfaehrt * Double-click VundoFix.exe * Klicke KillVundo.bat * nun wird folgendes angezeigt: (sieh das blaue Bild auf der Seite ) * gebe nun ein: C:\WINDOWS\system32\byxwt.dll * druecke Enter, und dann die F6 Taste, dann wieder Enter es wird ein zweiter String verlangt.....kopiere ein: C:\WINDOWS\System32\twxyb.* * dann wird sich HijackThis oeffnen: * In HiJackThis, click FIX CHECKED: R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll O4 - HKLM\..\Run: [_WinMain] C:\WINDOWS\winexec.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll PC neustarten es wird ein "Blue Screen of Death" sein, das ist normal . wieder: Double-click VundoFix.exe * Klicke KillVundo.bat * gebe nun ein: C:\WINDOWS\SYSTEM32\tuvur.dll * druecke Enter, und dann die F6 Taste, dann wieder Enter es wird ein zweiter String verlangt.....kopiere ein: C:\WINDOWS\System32\ruvut.* * dann wird sich HijackThis oeffnen: * In HiJackThis, click FIX CHECKED: O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll dach starte den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt * es wird ein "Blue Screen of Death" sein, das ist normal ...... +YourSiteBar und SideFind deinstallieren + loesche: C:\WINDOWS\winexec.exe (W32/Evilbot-B) +loesche mit CCleaner alle temp-Dateien +scanne mit ewido (zweimal)-->poste mir dann den scanreport Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. -------------------------------------------------------------------------- scanne im Normalmodus (onlinescan) mit kaspersky http://virus-protect.org/onlinescan.html und poste den scanreport+ das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.10.2005, 15:30
Member
Beiträge: 16 |
#56
Hi Sabina,
leider gibt es HKEY_CURRENT_USER \Software\Kazaa\LocalContent\ nicht (es gibt kein Kazaa bei mir in der Software-Liste)...könntest du nochmal nachschauen? Vielen Dank und ciao! Panther23 |
|
|
||
24.10.2005, 16:13
Member
Beiträge: 22 |
#57
Hallo Sabina,
hier die Logs. Zunächst der 2. Ewido-Report. Beim ersten wurden jedoch infizierte Objekte gefunden. --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 06:01:41, 24.10.2005 + Report-Checksumme: 84E777CD + Scanergebnis: Keine infizierten Objekte gefunden. ::Report Ende dann der Kaspersky Report ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Monday, October 24, 2005 15:50:15 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 24/10/2005 Kaspersky Anti-Virus database records: 146553 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ Scan Statistics: Total number of scanned objects: 226053 Number of viruses found: 4 Number of infected objects: 5 Number of suspicious objects: 0 Duration of the scan process: 6659 sec Infected Object Name - Virus Name C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count4.jar-47cfe281-103f4105.zip/BB.class Infected: Trojan.Java.ClassLoader.o C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count4.jar-47cfe281-103f4105.zip/VerifierBug.class Infected: Exploit.Java.Bytverify C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count4.jar-47cfe281-103f4105.zip/Dummy.class Infected: Trojan.Java.ClassLoader.Dummy.c C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count4.jar-47cfe281-103f4105.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.k C:\Dokumente und Einstellungen\Ralph Ringwald\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count4.jar-47cfe281-103f4105.zip Infected: Trojan-Downloader.Java.OpenConnection.k Scan process completed. Habe mir erlaubt das eine Zip einfach mal manuell zu löschen, weiß nur nicht ob das reicht. Hier das neue Hijack-Log: Logfile of HijackThis v1.99.1 Scan saved at 16:07:39, on 24.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\AOL 8.0\aoltray.exe C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\download\Anwendungen\Stardate Neu\stardate.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Ralph Ringwald\Eigene Dateien\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Stardate.lnk = C:\Dokumente und Einstellungen\All Users\Dokumente\AOL Downloads\download\Anwendungen\Stardate Neu\stardate.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {853B7AC5-1DC9-484C-972B-479E790D4A4D} (CVxChatControl Object) - http://www.visit-x.net/downloads/applet/853B7AC5-1DC9-484c-972B-479E790D4A4D/8,0,0,7/cP-Client-80-light.cab O16 - DPF: {98BFD494-F6AD-4794-9038-832C0654CC43} (AOL YGP UPF Ctrl) - http://meinefotos04.aol.de/ygp/aol/plugin/upf/YGPUPF.de-DE.9.2.4.0.cab O16 - DPF: {D3E33EA6-92BF-444E-9DF3-E7F879F2006F} (TSRFileManagerXControl Control) - http://sims2.thesimsresource.com/TSRInstallationWizard.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe fehlt nun nun noch etwas? muß ich noch was tun? Die Winfixer-PopUps sind bisher, so glaube ich, nicht mehr aufgetaucht, bin mir jedoch nicht 100% sicher. Allgemein gefragt wäre dieses Kaspersky nen guter Virenscanner, den man sich zulegen könnte, wenn ja, gibts den auch auf deutsch? Oder gäbs dafür andere Empfehlungen ? Auf jedenfall schonmal vielen Dank für Deine Bemühungen. Gruß Ralph |
|
|
||
24.10.2005, 18:32
Ehrenmitglied
Beiträge: 29434 |
#58
Schraenky
es ist alles sauber Deinstalliere ewido wieder (ist nur 14 Tage free) http://virus-protect.org/antivirshare.html hier findest du den kaspersky in Deutsch __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.10.2005, 18:34
Ehrenmitglied
Beiträge: 29434 |
#59
Panther23
wenn es was nicht gibt...nun ja, ich versuche eine Reinigung aus der Ferne, sitze nicht vor dem PC arbeite alles weitere ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.10.2005, 21:33
...neu hier
Beiträge: 3 |
#60
hello sabina
die scan-berichte von jotti.org: Datei: melis.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir Worm/P2P.Niklas.Y gefunden ArcaVir Trojan.Naz gefunden Avast Win32:Niklas-O-UPX gefunden AVG Antivirus Worm/Niklas.AB gefunden BitDefender Win32.P2P.Niklas.A gefunden ClamAV Trojan.Gobot-7 gefunden Dr.Web Win32.HLLW.Niklaus.25 gefunden F-Prot Antivirus W32/Niklas.AB@p2p gefunden Fortinet W32/Niklas.Y-p2p gefunden Kaspersky Anti-Virus P2P-Worm.Win32.Niklas.y gefunden NOD32 Win32/MScr.AA gefunden Norman Virus Control Niklas.U gefunden UNA Worm.P2P.Niklas.y gefunden VBA32 Keine Viren gefunden Datei: svchost.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Backdoor-Server/Agent.BG.15 gefunden ArcaVir Keine Viren gefunden Avast Win32:Trojan-gen. {VC} gefunden AVG Antivirus BackDoor.Agent.M gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web DLOADER.Trojan gefunden (mögliche Variante) F-Prot Antivirus W32/Backdoor.EMO gefunden Fortinet W32/Agent.bg-bdr gefunden Kaspersky Anti-Virus Backdoor.Win32.Agent.bg gefunden NOD32 Win32/Agent.WBG gefunden Norman Virus Control W32/Agent.FMT gefunden UNA Keine Viren gefunden VBA32 Backdoor.Agobot.1 gefunden (mögliche Variante) Datei: iissrv.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Win32:Adan-125 gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Trojan-Clicker.Agent.3 (paranoid heuristics) gefunden (mögliche Variante) Datei: wsrchc3.dll Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Trojan/Click.Agent.EP.2 gefunden ArcaVir Trojan.Clicker.Agent.Ep gefunden Avast Keine Viren gefunden AVG Antivirus Clicker.PM gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Searcher gefunden F-Prot Antivirus W32/Agent.VY gefunden Fortinet W32/Agent.EP-tr gefunden Kaspersky Anti-Virus Trojan-Clicker.Win32.Agent.ep gefunden NOD32 Win32/TrojanClicker.Agent.NAP gefunden Norman Virus Control W32/Agent.HNZ gefunden UNA TrojanClicker.Win32.Agent gefunden VBA32 Trojan-Clicker.Win32.Agent.ep gefunden Datei: rtc.dll Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 a variant of Win32/Adware.HotBar application gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Datei: lmf32v.dll Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Dialer/301260 dialer gefunden ArcaVir Adware.Suggestor.G gefunden Avast Win32:Adware-gen. gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Adware.Linkmaker gefunden F-Prot Antivirus W32/Backdoor.PO gefunden Fortinet W32/Backdoor.PO-bdr gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Suggestor.g gefunden NOD32 Win32/Adware.LinkMaker application gefunden Norman Virus Control W32/Suggestor.G gefunden UNA Adware.Suggestor gefunden VBA32 AdWare.Suggestor.g gefunden |
|
|
||
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern --> dann erscheint eine vundo.reg auf dem Desktop
http://virus-protect.org/reg/vundo.reg
lade ewido (erst im abgesicherten modus scannen)
http://virus-protect.org/ewido.html
lade CCleaner (erst im abgesicherten Modus scannen)--> dann alle temporaeren Dateien loeschen
http://virus-protect.org/temp.html
--------------------------------------------------------------------------------------------
Download: VundoFix.exe
http://virus-protect.org/artikel/tools/vundofix.html
* Lade und auf dem Desktop entpacken
* boote in den abgesicherten Modus (F8 druecken, wenn er PC hochfaehrt
* Double-click VundoFix.exe
* Klicke KillVundo.bat
* nun wird folgendes angezeigt: (sieh das blaue Bild auf der Seite )
* gebe nun ein:
C:\WINDOWS\system32\gebya.dll
* druecke Enter, und dann die F6 Taste, dann wieder Enter
es wird ein zweiter String verlangt.....kopiere ein:
C:\WINDOWS\System32\aybeg.*
* dann wird sich HijackThis oeffnen:
* In HiJackThis, click FIX CHECKED:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=
O1 - Hosts: 255.255.255.255 www.casinoxo.com
O1 - Hosts: 255.255.255.255 www.theblackjacktable.com
O1 - Hosts: 255.255.255.255 www.theblackjacktable.com
O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\system32\gebya.dll
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43D13F55-143D-43D7-8D8F-18A4F263D780}: NameServer = 10.150.128.2,141.84.225.226
O20 - Winlogon Notify: gebya - C:\WINDOWS\system32\gebya.dll
* dach starte den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt
* es wird ein "Blue Screen of Death" sein, das ist normal ......
+Die Datei "vundo.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird
+loesche mit CCleaner alle temp-Dateien
+scanne mit ewido (zweimal)-->poste mir dann den scanreport
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
--------------------------------------------------------------------------
scanne im Normalmodus (onlinescan) mit kaspersky
http://virus-protect.org/onlinescan.html
und poste den scanreport+ das neue Log vom HijackThis
__________
MfG Sabina
rund um die PC-Sicherheit