winfixer 2005 problemThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.10.2005, 23:08
...neu hier
Beiträge: 1 |
||
|
||
25.10.2005, 00:15
Ehrenmitglied
Beiträge: 29434 |
#62
Hallo
PeterPopp jede Winfixer Verseuchung hat eine andere dll, deshalb muss du das Log vom HijackThis hier posten Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.10.2005, 01:12
Ehrenmitglied
Beiträge: 29434 |
#63
tom-CH
ich wusste, dass es Viren und backdoors sind...willst du formatieren? wenn nicht, arbeite alles ab, was ich geschrieben hatte und wenn du fertig bist: poste die 4 logs (3 Monate vom Datum her reichen) http://virus-protect.org/datfindbat.html und poste auch alle scanreporte, vom Kaspersy, die du anwenden solltest Zitat Download: VundoFix.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.10.2005, 08:49
...neu hier
Beiträge: 4 |
#64
Hallo zusammen...
habe auch das Problem mit diesem verflixten Winfixer! Habe jetzt schon einige Hinweise aus dem Board befolgt und auch nochmal HIjackthis laufen lassen! Könnte sich jemand mal mein Log anschauen - weil ich davon recht wenig Ahnung habe. Vielen Dank vorab Logfile of HijackThis v1.99.1 Scan saved at 08:21:41, on 25.10.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\DATEV\SYSTEM\PSNTSERV.EXE C:\Programme\NavNT\defwatch.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe C:\Programme\NavNT\rtvscan.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\regsvc.exe C:\WINDOWS\system32\MSTask.exe C:\WINDOWS\System32\WBEM\WinMgmt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ypguofy.exe C:\WINDOWS\explorer.exe W:\Umlegung\Antivirentools\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von *** F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [DATEV Updateservice] C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: DATEV-Hinweis Mitteilungsdienst.lnk = C:\DATEV\PROGRAMM\A0000007\DHNC.exe O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\SYSTEM32\RZPJWTCH.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.lok O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.lok O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.lok O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: nwprovau - C:\WINDOWS\SYSTEM32\nwprovau.dll O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe Mir persönlich machen die Nail.exe (F8) und websearch (O8) einige Sorgen... weil ich die auch nicht wegbekomme, deinstallieren oder löschen kann! Dieser Beitrag wurde am 25.10.2005 um 08:52 Uhr von airwolfone editiert.
|
|
|
||
25.10.2005, 12:38
Ehrenmitglied
Beiträge: 29434 |
#65
Hallo@airwolfone
Zitat ist das deine Domain ????Lade diese Seite (ueber die Browserleiste oben -- Datei speichern -- abspeichern unter -- waehle Desktop - dann erscheint eine a.reg auf dem Desktop. (-- noch nicht anwenden) http://virus-protect.org/reg/a.reg öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen! O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe -- PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "a.reg" auf dem Desktop doppelklicken und mit "ja" bestaetigen, dass sie der Registry beigefuegt wird. ------------------------------------------------------------------------------ Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: SvcProc Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (von Symantec) --- ignorieren warnmeldung:bösartiges skript entdeckt FindIt's http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip Anleitung: http://virus-protect.org/artikel/tools/FindIts.html 1. Entpacken und auf dem Desktop speichern 2. öffnen und doppelklicken: FindIt's.bat -- warte, bis der Editor sich öffnet -- text file. (hab Geduld, es kann eine Weile dauern) ... 3. Poste bitte die txt vom Scann in den Thread im Forum __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.10.2005, 19:35
...neu hier
Beiträge: 3 |
#66
Hello sabina
ein riesiges M-E-R-C-I für deine hilfe. der winfixer ist weg! das ist das wichtigste und dringendste.. als ich gestern den kapersky scannen lies ist er mir 2 mal abgestürzt... ich werde formatieren, mein system hat das sowieso mal dringend nötig. eine frage noch: ich habe meine festplatte in drei teile unterteilt. kann ich meine fotos und wichtigen dateien (alle von mir) nach dem formatieren eines teils auf ebendiesen kopieren? oder schleppe ich dadurch viren rüber? auf cd werde ich alles sowieso sichern, aber es wäre bequemer wenn ichs nur rüberziehen könnte. gruss tom |
|
|
||
25.10.2005, 20:49
Member
Beiträge: 16 |
#67
Hi Sabina,
sooo - jetzt hab ich deine Anweisungen befolgt...weiter unten der scanreport etc. - ich hoffe, dass ich deine Zeit nicht zu sehr in Anspruch nehme... --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 18:05:56, 25.10.2005 + Report-Checksumme: 8597906A + Scanergebnis: C:\WINDOWS\system32\byxwt.dll -> Spyware.Virtumonde : Gesäubert mit Backup ::Report Ende ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Tuesday, October 25, 2005 20:38:43 Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 25/10/2005 Kaspersky Anti-Virus database records: 146800 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ G:\ Scan Statistics: Total number of scanned objects: 95879 Number of viruses found: 11 Number of infected objects: 12 Number of suspicious objects: 22 Duration of the scan process: 5633 sec Infected Object Name - Virus Name C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0EF00000.VBN Infected: Trojan-Dropper.VBS.Inor.dj C:\Dokumente und Einstellungen\Christian Schäfer\Lokale Einstellungen\Anwendungsdaten\Identities\{F4B2E021-A53A-471C-985D-6B3C857EA2D9}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From eBay Inc <identdep_op96@ebay.com>][Date Mon, 24 Oct 2005 16:25:38 +0100]/html Infected: Trojan-Spy.HTML.Bayfraud.hn C:\Dokumente und Einstellungen\Christian Schäfer\Lokale Einstellungen\Anwendungsdaten\Identities\{F4B2E021-A53A-471C-985D-6B3C857EA2D9}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Infected: Trojan-Spy.HTML.Bayfraud.hn C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055312.exe Infected: Trojan-Downloader.Win32.Agent.ts C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055360.exe Infected: Trojan-Downloader.Win32.Dyfuca.ei C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055364.exe Infected: Trojan-Downloader.Win32.IstBar.gen C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055368.exe Infected: Trojan-Downloader.Win32.IstBar.jm C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055373.dll Infected: Trojan-Downloader.Win32.IstBar.ms C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055374.exe Infected: Trojan-Downloader.Win32.IstBar.ij C:\System Volume Information\_restore{901BD9EC-42C6-4307-B24E-97B7AB4A7E38}\RP507\A0055375.dll Infected: Trojan-Downloader.Win32.Dyfuca.gen C:\WINDOWS\system32\colrtosa.exe Infected: Trojan.Win32.Crypt.t C:\WINDOWS\system32\dmupxspx.dll Infected: Trojan.Win32.Crypt.t G:\Secure & Compress\Appz, Patches und Treiber\Burning (multiple)\Nero (multiple)\nero 5.5.9.14\tsrh-nero55914_kg.exe.PMS/tsrh-nero55914_kg.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Burning (multiple)\Nero (multiple)\nero 5.5.9.14\tsrh-nero55914_kg.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\DVD (multiple)\windvd 4.0 plus\Win DVD v4.0 Plus\Intervideo.WinDVD.4.x.keyg*hier nicht*.exe.PMS/Intervideo.WinDVD.4.x.keyg*hier nicht*.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\DVD (multiple)\windvd 4.0 plus\Win DVD v4.0 Plus\Intervideo.WinDVD.4.x.keyg*hier nicht*.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Vector Nti 9 Advanced & Patch\Vector Nti Advanced v9.0 Patch.exe.PMS/Vector Nti Advanced v9.0 Patch.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Vector Nti 9 Advanced & Patch\Vector Nti Advanced v9.0 Patch.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\winvnc\_ISDel.exe.PMS/_ISDel.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\winvnc\_ISDel.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\winvnc\Setup.exe.PMS/Setup.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\winvnc\Setup.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Partition Manager\Setup.exe.PMS/Setup.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Partition Manager\Setup.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\DRTCP021.exe.PMS/DRTCP021.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\DRTCP021.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\msnaddin.exe.PMS/msnaddin.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\msnaddin.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\SETUP.EXE.PMS/SETUP.EXE Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\SETUP.EXE.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Canvas.X-ZWT\keyg*hier nicht*.exe.PMS/keyg*hier nicht*.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Canvas.X-ZWT\keyg*hier nicht*.exe.PMS Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Viren-Defence\VundoFix.exe.PMS/VundoFix.exe Suspicious: Password-protected-EXE G:\Secure & Compress\Appz, Patches und Treiber\Viren-Defence\VundoFix.exe.PMS Suspicious: Password-protected-EXE Scan process completed. Logfile of HijackThis v1.99.1 Scan saved at 20:45:51, on 25.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\vpn\cvpnd.exe C:\Programme\Symantec Norton Antivirus\DefWatch.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Symantec Norton Antivirus\Rtvscan.exe C:\WINDOWS\System32\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\WLTRYSVC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\bcmwltry.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\PROGRA~1\SYMANT~1\vptray.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\Programme\Freecom Personal Media Suite\FCPMS.exe C:\Programme\VNC\WinVNC.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\WISPTIS.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\rsvp.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX06.617\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] c:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "c:\programme\clone cd 4.4.3.1.0\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Freecom Personal Media Suite.lnk = C:\Programme\Freecom Personal Media Suite\FCPMS.exe O4 - Startup: Verknüpfung mit WinVNC.lnk = C:\Programme\VNC\WinVNC.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\vpn\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (HKCU) O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Informax\Vector NTI Suite 9\Ncbi.dll O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\vpn\cvpnd.exe O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\DefWatch.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\Rtvscan.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe |
|
|
||
26.10.2005, 00:21
Ehrenmitglied
Beiträge: 29434 |
#68
Zitat tom-CH posteteich wuerde erst mal reinigen, um sicher zu gehen, dass das Groebste weg ist. Andererseits denke ich, dass Fotos und Dokumente "sauber sind" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.10.2005, 00:25
Ehrenmitglied
Beiträge: 29434 |
#69
Hallo@Panther23
Double-click VundoFix.exe * Klicke KillVundo.bat * gebe nun ein: C:\WINDOWS\SYSTEM32\tuvur.dll * druecke Enter, und dann die F6 Taste, dann wieder Enter es wird ein zweiter String verlangt.....kopiere ein: C:\WINDOWS\System32\ruvut.* * dann wird sich HijackThis oeffnen: * In HiJackThis, click FIX CHECKED: O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll O2 - BHO: (no name) - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll danach starte den PC neu * es wird ein "Blue Screen of Death" sein, das ist normal ...... KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\WINDOWS\system32\byxwt.dll C:\WINDOWS\SYSTEM32\tuvur.dll C:\WINDOWS\system32\colrtosa.exe C:\WINDOWS\system32\dmupxspx.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.10.2005, 00:38
...neu hier
Beiträge: 1 |
#70
Hallo, nun hat mich auch dieses winfixer / SurfAccuracy - Problem erwischt.
Ich hoffe, ich kann das Zeug mit eurer Hilfe beseitigen. Mit eScanCheck hab ich schon versucht zu löschen, leider erfolglos. Ich poste mal das aktuelle HiJackThis-log: Logfile of HijackThis v1.99.1 Scan saved at 00:09:47, on 26.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\devldr32.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\SurfAccuracy\SAcc.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\flatrate\flatrate.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\ProgRunner\ProgRunner.exe G:\Downloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\flatrate\flatrate.exe O4 - Startup: Internet Explorer Browser starten.lnk = C:\Programme\Internet Explorer\IEXPLORE.EXE O4 - Startup: Verknüpfung mit emule.exe.lnk = C:\Programme\emule\eMule0.26d-sivka.v6b2-bin\emule.exe O4 - Startup: Verknüpfung mit ProgRunner.exe.lnk = C:\Programme\ProgRunner\ProgRunner.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: &Formulare speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Aus&füllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Menü a&npassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: Aus&füllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: &Formulare speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: Robo Symbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/17aec567bb186ebaa417/netzip/RdxIE601_de.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.de/app/uploader/FileUploader.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/1074/defaults/activex/ImageUploader3.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe |
|
|
||
26.10.2005, 01:00
Ehrenmitglied
Beiträge: 29434 |
#71
tobitoba
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O1 - Hosts: 64.91.255.87 www.dcsresearch.com O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe O4 - Startup: Verknüpfung mit emule.exe.lnk = C:\Programme\emule\eMule0.26d-sivka.v6b2-bin\emule.exe O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) PC neustarten DelTree (include SubDirectories) http://virus-protect.org/killbox.html Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories). Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht. C:\Programme\SurfAccuracy PC neustarten scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.10.2005, 08:06
...neu hier
Beiträge: 4 |
#72
Zitat Sabina postete Dieser Beitrag wurde am 26.10.2005 um 08:16 Uhr von airwolfone editiert.
|
|
|
||
26.10.2005, 11:52
Member
Beiträge: 16 |
#73
Hi Sabina,
so, das ist nun der logfile! Vielen Dank für die Mühe, die du dir machst! Viele Grüße, panther23 Logfile of HijackThis v1.99.1 Scan saved at 11:50:43, on 26.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\vpn\cvpnd.exe C:\Programme\Symantec Norton Antivirus\DefWatch.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Symantec Norton Antivirus\Rtvscan.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\PROGRA~1\SYMANT~1\vptray.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\WLTRYSVC.EXE C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\WINDOWS\System32\bcmwltry.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Freecom Personal Media Suite\FCPMS.exe C:\Programme\VNC\WinVNC.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.111\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\tuvur.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\byxwt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] c:\programme\clone cd 4.4.3.1.0\CloneCDTray.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "c:\programme\clone cd 4.4.3.1.0\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Freecom Personal Media Suite.lnk = C:\Programme\Freecom Personal Media Suite\FCPMS.exe O4 - Startup: Verknüpfung mit WinVNC.lnk = C:\Programme\VNC\WinVNC.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\vpn\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (HKCU) O12 - Plugin for .cdx: C:\Programme\Internet Explorer\PLUGINS\Npcdp32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://labor.fotoservice.web.de/static/download/WDU_1251.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Informax\Vector NTI Suite 9\Ncbi.dll O20 - Winlogon Notify: byxwt - C:\WINDOWS\system32\byxwt.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll O20 - Winlogon Notify: tuvur - C:\WINDOWS\SYSTEM32\tuvur.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\vpn\cvpnd.exe O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\DefWatch.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec Norton Antivirus\Rtvscan.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe |
|
|
||
26.10.2005, 13:27
Ehrenmitglied
Beiträge: 29434 |
#74
Hallo@airwolfone
die Reinigung beginnt, wenn du mir noch folgendes postest: datfindbat--> zwei Monate vom Datum her genuegen und bitte auch die Pfadangaben von jedem der 4 Logs oberhalb mit abkopieren http://virus-protect.org/datfindbat.html winpfind http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.10.2005, 13:33
Ehrenmitglied
Beiträge: 29434 |
#75
Hallo@Panther23
das Vundofix -Tool scheint den Hijacker nicht zu loeschen...arbeitest du immer alles korrekt ab? poste mir das log von Option 1 http://virus-protect.org/l2mfix.html datfindbat--> zwei Monate vom Datum her genuegen und bitte auch die Pfadangaben von jedem der 4 Logs oberhalb mit abkopieren http://virus-protect.org/datfindbat.html Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. kopiere den Code rein: Zitat echo ** This batch was originally written by OSC **3. Speichere die Datei als findtheother.bat auf dem Desktop 4. Doppel klick auf diese Datei findtheother.bat (abkopieren und posten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
auch ich habe das winfixerproblem. und was ich sagen wollte: entgegen der meinung das sich dieses programm bei rechnern mit servicepack2 nicht installiert, kann ich euch mitteilen, das mein standrechner dieses pack hat, und es für winfixer kein problem war sich zu installieren.
als nächstes werde ich die lösung von sabina ausprobieren, die scheint zu helfen.
gruss peter