winfixer 2005 problem

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.10.2005, 18:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#106 trc007

fein, ich denke, es ist sauber ;)

C:\WINDOWS\system32\mcrh.tmp -->loesche das noch manuell, ich sehe die Datei bei allen Winfixer-Verseuchungen.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2005, 18:59
...neu hier

Beiträge: 4
#107 Kann mir echt keiner helfen ? Das ist sehr schade :-(
Seitenanfang Seitenende
27.10.2005, 19:01
Member

Beiträge: 39
#108 Hi Sabina, auch ich brauche Hilfe

schau bitte mal:

Logfile of HijackThis v1.99.1
Scan saved at 19:01:29, on 27.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\aporukw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\BT500\BTStackServer.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Download\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll (file missing)
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINDOWS\system32\nsg2F.dll
O2 - BHO: TalMgr Class - {70230839-555C-4862-8D42-BB1E2352502C} - C:\WINDOWS\system32\italpqni.dll
O2 - BHO: ohb - {999a06ff-10ef-4a29-8640-69e99882c26b} - C:\WINDOWS\system32\rtneg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=103105 Seri*hier nicht!*=DR12CNC-8301292-WBN lang=DE
O4 - HKLM\..\Run: [netsync.exe] C:\WINDOWS\system32\netsync.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112808849772
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINDOWS\aporukw.exe


Danke schon mal.
__________
MfG Bohne
Protecus Website
Seitenanfang Seitenende
27.10.2005, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#109 CONCEPT71
du musst genau lesen...auch trotz der Fuelle der Threads, aber unter deinem log und von dem eines anderen Users habe ich auch dir geantwortet (beiden zugleich)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2005, 23:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#110

Zitat

Sabina postete
trc007 und CONCEPT71

postet mir das log von Option 1
http://virus-protect.org/l2mfix.html

datfindbat--> zwei Monate vom Datum her genuegen und bitte auch die Pfadangaben von jedem der 4 Logs oberhalb mit abkopieren
http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2005, 23:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#111 die_Bohne

postet mir das log von Option 1
http://virus-protect.org/l2mfix.html

datfindbat--> zwei Monate vom Datum her genuegen und bitte auch die Pfadangaben von jedem der 4 Logs oberhalb mit abkopieren
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.10.2005, 06:54
...neu hier

Beiträge: 4
#112 Hallo Sabrina,
ich hab ja auch versucht, meine Sachen zu loggen (siehe oben) Vielleicht hab ich aber auch was falsch gemacht. Bin leider kein Profi und hab gehofft dass ich alles richtig gemacht habe.
Seitenanfang Seitenende
28.10.2005, 10:18
...neu hier

Beiträge: 4
#113 Hi Sabina,

seit gestern ist tatsächlich Ruhe. Alles bestens.

Danke für die Hilfe!

Christian
Seitenanfang Seitenende
28.10.2005, 11:15
Member

Beiträge: 16
#114 Hi Sabina,

leider funktioniert weder manuell löschen noch Killbox (auch im abgesicherten Modus nicht). Die Dateien byxwt.dll und tuvur.dll etc. sind nicht zu löschen (es steht da, dass sie von einem Programm benutzt werden bzw. tauchen nach reboot einfach wieder auf)...
was nun?
Viele Grüße,
panther23
Seitenanfang Seitenende
28.10.2005, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#115 Panther23

versuche es mal damit:
http://virus-protect.org/artikel/tools/unlocker.html

ansonsten wird auch eine Loesung sein: wiederherstellung vom System auf einen Tag vor der Verseuchung und dann noch mal alles ueberpreufen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.10.2005, 13:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#116 CONCEPT71
entschuldige...aber der Thread wird langsam unuebersichtlich ;)

CCleaner (loesche alle temporaeren Dateien)-->muss leer sein: C:\DOKUME~1\Alpha\LOKALE~1\Temp

http://virus-protect.org/temp.html

dann muesste das Problem behoben sein, wenn nicht, melde dich ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.10.2005, 18:51
Member

Beiträge: 39
#117 hi sabina,
hier die beiten einträge:

C:\WINDOWS\SYSTEM32\
browseui.dll Sat 3 Sep 2005 1:53:20 A.... 1.019.904 996,00 K
cdfview.dll Sat 3 Sep 2005 1:53:20 A.... 152.064 148,50 K
cdosys.dll Sat 10 Sep 2005 3:54:28 A.... 2.067.968 1,97 M
clrviddc.dll Sat 6 Aug 2005 10:52:16 A.... 203.776 199,00 K
danim.dll Sat 3 Sep 2005 1:53:20 A.... 1.055.744 1,00 M
dvdkey~1.dll Sun 14 Aug 2005 10:17:14 ..... 65.536 64,00 K
dxtrans.dll Sat 3 Sep 2005 1:53:22 A.... 205.312 200,50 K
extmgr.dll Sat 3 Sep 2005 1:53:22 ..... 55.808 54,50 K
iepeers.dll Sat 3 Sep 2005 1:53:22 A.... 251.392 245,50 K
inseng.dll Sat 3 Sep 2005 1:53:22 A.... 96.768 94,50 K
italpqni.dll Tue 4 Oct 2005 17:05:28 A.... 229.376 224,00 K
legitc~1.dll Mon 29 Aug 2005 13:27:12 A.... 520.968 508,76 K
linkinfo.dll Thu 1 Sep 2005 3:44:42 A.... 19.968 19,50 K
livesnth.dll Sat 6 Aug 2005 10:52:16 A.... 278.528 272,00 K
mshtml.dll Wed 5 Oct 2005 2:26:00 A.... 3.013.120 2,87 M
mshtmled.dll Sat 3 Sep 2005 1:53:22 A.... 448.512 438,00 K
msrating.dll Sat 3 Sep 2005 1:53:22 A.... 146.432 143,00 K
mstime.dll Sat 3 Sep 2005 1:53:22 A.... 530.432 518,00 K
netman.dll Mon 22 Aug 2005 20:31:48 A.... 197.632 193,00 K
nsg2f.dll Sat 22 Oct 2005 4:03:56 A.... 146.944 143,50 K
nsr11.dll Sat 22 Oct 2005 14:03:56 A.... 146.944 143,50 K


pdrpdb.dll Tue 4 Oct 2005 17:05:26 A.... 417.792 408,00 K
pncrt.dll Fri 5 Aug 2005 15:39:48 A.... 278.528 272,00 K
pndx5016.dll Fri 5 Aug 2005 15:39:50 A.... 6.656 6,50 K
pndx5032.dll Fri 5 Aug 2005 15:39:50 A.... 5.632 5,50 K
pngfilt.dll Sat 3 Sep 2005 1:53:22 A.... 39.424 38,50 K
quartz.dll Tue 30 Aug 2005 5:55:36 A.... 1.292.800 1,23 M
rmoc3260.dll Fri 5 Aug 2005 15:40:10 A.... 176.167 172,04 K
rsyncmon.dll Thu 27 Oct 2005 17:29:16 A.... 204.800 200,00 K
shdocvw.dll Sat 3 Sep 2005 1:53:22 A.... 1.484.288 1,41 M
shell32.dll Fri 23 Sep 2005 5:06:22 A.... 8.491.520 8,10 M
shlwapi.dll Sat 3 Sep 2005 1:53:22 A.... 474.112 463,00 K
umpnpmgr.dll Tue 23 Aug 2005 5:39:58 A.... 124.416 121,50 K
urlmon.dll Sat 3 Sep 2005 1:53:22 A.... 605.696 591,50 K
wininet.dll Sat 3 Sep 2005 1:53:22 A.... 664.064 648,50 K
winsrv.dll Thu 1 Sep 2005 3:44:44 A.... 292.352 285,50 K

103 items found: 103 files, 0 directories.
Total of file sizes: 61.830.191 bytes 58,96 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: FC2D-D918

Verzeichnis von C:\WINDOWS\System32

13.10.2005 18:19 <DIR> dllcache
06.04.2005 18:32 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.736.506.880 Bytes frei

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: FC2D-D918

Verzeichnis von C:\WINDOWS\system32

28.10.2005 18:05 29.204 nvapps.xml
28.10.2005 18:05 13.646 wpa.dbl
27.10.2005 17:29 204.800 rsyncmon.dll
22.10.2005 14:03 146.944 nsr11.dll
22.10.2005 04:03 146.944 nsg2F.dll

17.10.2005 21:04 327.504 FNTCACHE.DAT
05.10.2005 09:36 2.301.792 MRT.exe
05.10.2005 02:26 3.013.120 mshtml.dll
04.10.2005 20:38 93 NULL
04.10.2005 17:05 229.376 italpqni.dll
04.10.2005 17:05 417.792 pdrpdb.dll

03.10.2005 23:05 383.254 perfh009.dat
03.10.2005 23:05 53.608 perfc009.dat
03.10.2005 23:05 394.500 perfh007.dat
03.10.2005 23:05 64.598 perfc007.dat
03.10.2005 23:05 899.052 PerfStringBackup.INI
23.09.2005 05:06 8.491.520 shell32.dll
10.09.2005 03:54 2.067.968 cdosys.dll
03.09.2005 01:53 664.064 wininet.dll
03.09.2005 01:53 39.424 pngfilt.dll
03.09.2005 01:53 205.312 dxtrans.dll
03.09.2005 01:53 1.484.288 shdocvw.dll
03.09.2005 01:53 251.392 iepeers.dll
03.09.2005 01:53 448.512 mshtmled.dll
03.09.2005 01:53 96.768 inseng.dll
03.09.2005 01:53 55.808 extmgr.dll
03.09.2005 01:53 474.112 shlwapi.dll
03.09.2005 01:53 146.432 msrating.dll
__________
MfG Bohne
Protecus Website
Seitenanfang Seitenende
28.10.2005, 19:38
...neu hier

Beiträge: 7
#118 Hi Sabina!
Kannst Du mir bitte auch helfen. Hab heut irgendwie Mist gebaut und mir diesen Winfaxer-Kram gezogen. Muß dazu sagen, daß ich nicht viel Peilung habe. Bitte möglichst verständlich die Schritte beschreiben, die ich machen muß, um diesen Mist Winfixer zu entfernen. Hier meine Daten:

Logfile of HijackThis v1.99.1
Scan saved at 19:28:46, on 28.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fussballarama.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Media Gateway] C:\DOKUME~1\SNAKER~1\LOKALE~1\Temp\MediaGateway.exe
O4 - HKLM\..\Run: [MNI.UWFX5U_0001_LP1710] "C:\Dokumente und Einstellungen\Snakerman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AFI3IDYR\WinFixer2005ScannerInstallDE[1].exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{19AC49AE-32FF-414E-BD6F-D53F37BB3C0E}: NameServer = 212.7.148.65 212.7.148.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{19AC49AE-32FF-414E-BD6F-D53F37BB3C0E}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

Danke im Voraus! Hoffentlich bist Du grad online
Gruß Kurtel
Seitenanfang Seitenende
29.10.2005, 00:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#119 Hallo@die_Bohne



KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Windows\SYSTEM32\netlanm.dll
C:\Windows\SYSTEM32\pdrpdb.dll
C:\WINDOWS\system32\rtneg.dll
C:\WINDOWS\system32\rsyncmon.dll
C:\WINDOWS\system32\nsr11.dll
C:\WINDOWS\system32\nsg2F.dll
C:\WINDOWS\AuroraHandler.dll
C:\WINDOWS\System32\pkshkmsr.dll
C:\WINDOWS\System32\italqjzn.dll
C:\WINDOWS\aporukw.exe
C:\WINDOWS\system32\netsync.exe

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll (file missing)
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINDOWS\system32\nsg2F.dll
O2 - BHO: TalMgr Class - {70230839-555C-4862-8D42-BB1E2352502C} - C:\WINDOWS\system32\italpqni.dll
O2 - BHO: ohb - {999a06ff-10ef-4a29-8640-69e99882c26b} - C:\WINDOWS\system32\rtneg.dll
O4 - HKLM\..\Run: [netsync.exe] C:\WINDOWS\system32\netsync.exe
Hijackthis auf "open the misc tool section" klicken und dann auf "delete an NT Service" und die Namen angeben, aber mache dies nur bei diesen O23 Einträgen!
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINDOWS\aporukw.exe

PC neustarten

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
[-HKEY_CURRENT_USER\Software\aurora]


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken und sofort wieder in den normalmodus gehen.


Download Registry Search Tool :
Meldung (von Symantec) --- ignorieren
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Doppelklick:regsrch.vbs

reinkopieren:

Windows Overlay Components

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Doppelklick:regsrch.vbs
reinkopieren:

SvcProc

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.org/temp.html

Trialversion Spysweeper (scanne und poste den scanreport)
http://virus-protect.org/spysweeper.html

scanne bitte mit ewido
und poste den scanreport
http://virus-protect.org/ewido.html

Counterspy (loesche alle Malware laut Anweisungen ...auf meiner Seite) --> poste den scanreport
http://virus-protect.org/counterspy.html

scanne mit kaspersky (poste den scanreport)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.10.2005, 01:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#120 Hallo Kurtel

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [Media Gateway] C:\DOKUME~1\SNAKER~1\LOKALE~1\Temp\MediaGateway.exe
O4 - HKLM\..\Run: [MNI.UWFX5U_0001_LP1710] "C:\Dokumente und Einstellungen\Snakerman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AFI3IDYR\WinFixer2005ScannerInstallDE[1].exe"
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c9.cab

PC neustarten

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.org/temp.html

Trialversion Spysweeper (scanne und poste den scanreport)
http://virus-protect.org/spysweeper.html

scanne bitte mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: