Your System is infected auf dem Deskop |
||
---|---|---|
#0
| ||
10.08.2005, 20:33
...neu hier
Beiträge: 3 |
||
|
||
10.08.2005, 21:29
MerlinX
zu Gast
|
#2
Poste mal dein Log hier hin> http://www.hijackthis.de/
Wenn du dann nicht weiter weißt noch mal hier hin. Mfg Merlinx |
|
|
||
23.08.2005, 08:59
Member
Beiträge: 4730 |
#3
Hallo Ostseefloh,
leider bist Du wohl übersehen worden. Falls Dein Problem weiterhin besteht, sag bitte bescheid. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
23.08.2005, 19:17
...neu hier
Themenstarter Beiträge: 3 |
#4
Hallo,
also ich habe den Service Pack 2 Installiert.Noch paar Updates,vorher diverse Sachen gelöscht "was befallen" war. Lief dann gut. Bloß nach dem runterfahren lief Win Xp nicht mehr hoch. Da ich aber 4 Paritionen habe,mit Dual Boot System,(Win 98 SE/XP Pro)konnte ich noch viele Daten rüberkopieren und habe die XP Platte komplett formatiert. Danach XP neu rauf,sofort sämtliche Updates Installiert,bis Microsoft sagte,es gibt keine weiteren Updates im Moment. Dann paar mal Windows neu hochgefahren,alles ok. Registry gesichert,und anschließend meine üblichen Programme installiert. Läuft nun einwandfrei,kein rotes Feld meckert mehr rum. Warum nun XP nicht mehr hoch lief weiß ich auch nicht,könnte jedoch am Service Pack 2 liegen. Man liest oft in Foren,das nach Update XP nicht mehr geht. Obs etwas mit Windows Anti Spy oder fehlender Windows Aktivierung ;-) zu tun hat,weiss ich nicht. Wie gesagt,habe alles gelöscht,und mir kein Kopp gemacht mehr weshalb und warum. Hatte ehrlich auch kein Bock mehr darauf und nun ist hoffentlich Ruhe. Trotz allem Danke und viele Virenfreie Wochen. |
|
|
||
24.08.2005, 02:54
Member
Beiträge: 4730 |
#5
Aber Du hast hoffentlich ServicePack 2 wieder installiert? Ich hab nichts gegen Dich, aber dennoch wäre es nicht schön (zumindest für Dich), wenn Du Stammgast bei uns wirst
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
24.08.2005, 18:20
...neu hier
Themenstarter Beiträge: 3 |
#6
Ja,
auch den Service Pack 2. Eigentlich alles was bis dato zu haben gibt/gab. Stammgast werden gerne,aber lieber beim Griechen oder so. |
|
|
||
03.10.2005, 11:58
...neu hier
Beiträge: 1 |
#7
Hmm ich habs wegbekommen indem ich im Registry-Editor in Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System und dort das mit Wallpaper C:\Windows\Desktop.html rausgemacht habe ... und dann im Ordner selbst die Datei gelöscht hab
|
|
|
||
06.10.2005, 07:24
...neu hier
Beiträge: 2 |
#8
hab das selbe problem, hab zwar schon vieles gefixt über hijack aber meinen hintergrund kann ich immer noch nicht ändern! immer noch diese warnung.. :o( wie kann man die auf einfache weiße erseten?
Logfile of HijackThis v1.99.1 Scan saved at 07:23:49, on 06.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\windows\System32\smss.exe C:\windows\SYSTEM32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\System32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\SYSTEM32\Ati2evxx.exe C:\windows\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Pixoria\Konfabulator\Konfabulator.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Lord of Lowrider\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\windows\blank.mht R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mypaymate.com/dialerplatform/tmp.htm F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Userinit] C:\Programme\Gemeinsame Dateien\system\lsass.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Startup: Konfabulator.lnk = C:\Programme\Pixoria\Konfabulator\Konfabulator.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {71B16FA1-ABB6-4F98-B1C8-3B702D439A89} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {71B16FA1-ABB6-4F98-B1C8-3B702D439A89} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{805A6271-646E-4D54-AECE-2FA893B4DD23}: NameServer = 217.237.149.225 217.237.151.97 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe |
|
|
||
06.10.2005, 08:20
Moderator
Beiträge: 7805 |
||
|
||
06.10.2005, 12:33
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@hardcore
da ist auch ein Virus drauf.... öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\windows\blank.mht F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - HKLM\..\Run: [Userinit] C:\Programme\Gemeinsame Dateien\system\lsass.exe neustarten CCleaner http://www.ccleaner.com/ccdownload.asp (man bei CCleaner als Administrator angemeldet sein) lösche alle temp-Dateien http://virus-protect.org/silentrunner.html poste das log http://virus-protect.org/datfindbat.html poste die 4 LOGS (mit der pfadangabe oben...30 Tage reichen) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.10.2005, 00:02
...neu hier
Beiträge: 2 |
#11
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "VD" = (empty string) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"] "KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize" ["Kaspersky Lab"] "KernelFaultCheck" = "C:\windows\system32\dumprep 0 -k" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{00020000-0000-1011-8004-0000C06B5161}" = "WIBU-SYSTEMS Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WIBU-SYSTEMS\System\WibuShellExt.dll" ["WIBU-SYSTEMS AG"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" [empty string] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" [file not found] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" [file not found] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Lord of Lowrider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS] Startup items in "Lord of Lowrider" & "All Users" startup folders: ------------------------------------------------------------------ C:\Dokumente und Einstellungen\Lord of Lowrider\Startmenü\Programme\Autostart "Konfabulator" -> shortcut to: "C:\Programme\Pixoria\Konfabulator\Konfabulator.exe" ["Yahoo, Inc."] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "BTTray" -> shortcut to: "C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe" [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars Dormant Explorer Bars in "View, Explorer Bar" menu HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ {71B16FA1-ABB6-4F98-B1C8-3B702D439A89}\ "ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen" "MenuText" = "Unterstützung für xp-AntiSpy" "Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data] HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\windows\System32\Ati2evxx.exe" ["ATI Technologies Inc."] kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"" ["Kaspersky Lab"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" [empty string] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 11 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 11 seconds. ---------- (total run time: 69 seconds) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 38F6-714E Verzeichnis von C:\WINDOWS 09.10.2005 23:44 665 win.ini 09.10.2005 23:39 192 winamp.ini 09.10.2005 23:38 0 0.log 09.10.2005 23:36 2.048 bootstat.dat 09.10.2005 23:15 6.018 ModemLog_Bluetooth Fax Modem.txt 09.10.2005 23:15 3.674 ModemLog_Generic SoftK56.txt 09.10.2005 23:15 2.410 ModemLog_Bluetooth Null Modem.txt 09.10.2005 21:51 50 wiaservc.log 09.10.2005 21:51 216 wiadebug.log 06.10.2005 07:30 27 .ini 06.10.2005 05:03 116 NeroDigital.ini 06.10.2005 04:45 868.566 ntbtlog.txt 06.10.2005 03:08 99.970 UninstallFirefox.exe 06.10.2005 03:08 3.471 mozver.dat 06.10.2005 02:58 335 mozregistry.dat 29.09.2005 19:21 3.932.214 Firefox Wallpaper.bmp 23.09.2005 05:49 231 wmsetup.log 22.09.2005 22:18 1.167.146 setupapi.log 19.09.2005 18:51 102.254 Windows Update.log 19.09.2005 17:28 62 MotoSkin.INI 17.09.2005 09:44 316.640 WMSysPr9.prx 17.09.2005 06:47 1.442 COM+.log 17.09.2005 06:47 437 Q816843.log 17.09.2005 06:47 1.200 xpsp1hfm.log 17.09.2005 06:47 437 Q814560.log 17.09.2005 04:43 290.816 Setup1.exe 17.09.2005 04:43 1.713 ST6UNST.001 17.09.2005 04:43 74.752 ST6UNST.EXE 17.09.2005 04:40 5.790 MotoKit Setup Log.txt 17.09.2005 04:40 720.896 iun6002.exe 17.09.2005 03:19 1.709 ST6UNST.000 17.09.2005 01:52 45.828 ModemLog_Motorola USB Modem.txt 17.09.2005 01:36 9.733 KB822603.log 17.09.2005 01:31 11.268 ModemLog_Motorola USB Modem #3.txt 17.09.2005 01:26 45.828 ModemLog_Motorola USB Modem #2.txt 17.09.2005 00:44 53.756 iis6.log 17.09.2005 00:44 1.626 tabletoc.log 17.09.2005 00:44 1.374 imsins.log 17.09.2005 00:44 17.996 comsetup.log 17.09.2005 00:44 13.014 tsoc.log 17.09.2005 00:44 9.214 ntdtcsetup.log 17.09.2005 00:44 18.590 ocgen.log 17.09.2005 00:44 1.277 ocmsn.log 17.09.2005 00:44 1.172 msgsocm.log 17.09.2005 00:44 3.560 netfxocm.log 17.09.2005 00:44 20.936 FaxSetup.log 17.09.2005 00:44 11.758 msmqinst.log 15.09.2005 22:33 1.176 GTA-SA_Trn_Settings.ini 10.09.2005 13:04 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 38F6-714E Verzeichnis von C:\DOKUME~1\LORDOF~1\LOKALE~1\Temp 09.10.2005 23:44 16.384 Perflib_Perfdata_7f8.dat 09.10.2005 21:36 11.835 RG503877.pdf 09.10.2005 21:15 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}25018.html 09.10.2005 21:15 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}17835.html 4 Datei(en) 30.180 Bytes 0 Verzeichnis(se), 104.961.761.280 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 38F6-714E Verzeichnis von C:\WINDOWS\system32 09.10.2005 23:36 330 desktops.ini 09.10.2005 23:36 203.328 FNTCACHE.DAT 08.10.2005 21:59 2.206 wpa.dbl 06.10.2005 07:30 2.183.808 LOGOOS.EXE 06.10.2005 04:13 1.632 split.exe 06.10.2005 04:13 2 vx.tll 06.10.2005 03:14 0 pavjob.log 06.10.2005 02:38 135.168 sfc_os.dll 06.10.2005 02:38 38.139 userinit.exe 19.09.2005 19:02 53.608 perfc009.dat 19.09.2005 19:02 383.254 perfh009.dat 19.09.2005 19:02 394.500 perfh007.dat 19.09.2005 19:02 64.598 perfc007.dat 19.09.2005 19:02 899.052 PerfStringBackup.INI 17.09.2005 03:32 3.799 jupdate-1.5.0_04-b05.log 09.09.2005 14:06 75 LuResult.txt 28.08.2005 16:25 176.167 rmoc3260.dll 28.08.2005 16:24 5.632 pndx5032.dll 28.08.2005 16:24 6.656 pndx5016.dll 28.08.2005 16:24 278.528 pncrt.dll 28.08.2005 15:11 32 ac_tiny.cfg 21.08.2005 21:30 239 NVU001.nvu 21.08.2005 06:35 0 h323log.txt 21.08.2005 05:46 25.065 wmpscheme.xml 21.08.2005 05:41 261 $winnt$.inf 21.08.2005 05:39 2.951 CONFIG.NT 21.08.2005 05:39 16.832 amcompat.tlb 21.08.2005 05:39 23.392 nscompat.tlb 21.08.2005 05:39 488 WindowsLogon.manifest 21.08.2005 05:39 488 logonui.exe.manifest 21.08.2005 05:38 749 nwc.cpl.manifest 21.08.2005 05:38 749 ncpa.cpl.manifest 21.08.2005 05:38 749 wuaucpl.cpl.manifest 21.08.2005 05:38 749 cdplayer.exe.manifest 21.08.2005 05:38 749 sapi.cpl.manifest 21.08.2005 05:37 Dieser Beitrag wurde am 10.10.2005 um 00:13 Uhr von hardcore editiert.
|
|
|
||
10.10.2005, 00:52
Ehrenmitglied
Beiträge: 29434 |
#12
das ist ein Problem: die userinit.exe wurde von dem Virus ersetzt, besser also, du laedst erst eimal von einem sauberen PC eine saubere userinit.exe und benennst die alte um in userinit.ex und kopierst die saubere in system32.
die userinit.ex -Datei zipst du und schickst bitte mit genauer Bezeichnung an: virus@protecus.de Zitat Copies %System%\userinit.exe (a valid system file) as the following file and then deletes it:Start-->Ausfuehren-->regedit # HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon loesche auf der rechten Seite: (falls es noch vorhanden ist) "Userinit" = "%System%\userinit.exe" "SFCDisable" = "FFFFFF9D" <---aendere in 0 "SFCScan" = "0" <--aendere in 1 KILLBOX http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\desktops.ini C:\windows\blank.mht C:\windows\.ini C:\WINDOWS\system32\split.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\system\lsass.exe C:\WINDOWS\system32\Bluetooth.dll C:\WINDOWS\system32\sfc_os.dll PC neustarten suche/loesche : _Toolbar_Class_32 arbeite das ab und poste die logs http://virus-protect.org/multiavtool.html scanne bitte mit panda, berichte und poste das neue log vom Hijackthis http://virus-protect.org/onlinescan.html ?????????? Zitat HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\http://securityresponse.symantec.com/avcenter/venc/data/trojan.satier.html Zitat "SFCScan" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2006, 18:52
...neu hier
Beiträge: 8 |
#13
Hallo, ich bin ganz neu hier und denke ich habe dasselbe Problem. Hier mal mein HijackThis Log:
Zitat Logfile of HijackThis v1.99.1Ich hoffe ihr könnt mir helfen, ich versuch schon den ganzen Tag das Ding loszuwerden und hab schon alles mögliche versucht mit einem Ergebnis = 0. |
|
|
||
17.06.2006, 08:14
Ehrenmitglied
Beiträge: 29434 |
#14
thaag
das problem kann man loesen 1. echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.06.2006, 13:03
...neu hier
Beiträge: 8 |
#15
So hab mal alles gemacht...
echo: Zitat 10)DPF????system32: Zitat Volume in Laufwerk C: hat keine Bezeichnung.temp: Zitat Volume in Laufwerk C: hat keine Bezeichnung.windows: Zitat Volume in Laufwerk C: hat keine Bezeichnung.c: Zitat Volume in Laufwerk C: hat keine Bezeichnung.mfg Tobi Dieser Beitrag wurde am 17.06.2006 um 13:07 Uhr von thaag editiert.
|
|
|
||
Bekomme das Ding auch nicht weg.
Habe hier zwar schon etliches gelesen,aber so recht checken tue ich es nicht.
Habe mal ein Log hier,könnt Ihr mir dazu helfen??Danke und Gruß Michael
Logfile of HijackThis v1.99.1
Scan saved at 20:32:53, on 10.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\logonui.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
D:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\WINDOWS\System32\icasServ.exe
D:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\ouao\ioaw.exe
D:\WINDOWS\System32\l?gonui.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\AOL 9.0a\aoltray.exe
D:\WINDOWS\twain_32\A4S2_600\watch.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
D:\WINDOWS\MSCAN\Msoffice\panel.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\Programme\ewido\security suite\ewidoguard.exe
D:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\wanmpsvc.exe
D:\Programme\AOL 9.0a\waol.exe
D:\Programme\AOL 9.0a\shellmon.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
E:\PROGRA~2\MICROS~1\Office10\OUTLOOK.EXE
E:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Programme\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {38ED2463-BE85-BB52-82FE-B66941A184E0} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CXMon] "D:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ZyConfig] "D:\Programme\ZyConfig\ZyConfig.exe" -update
O4 - HKLM\..\Run: [icasServ] D:\WINDOWS\System32\icasServ.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Rbpr] D:\Programme\ouao\ioaw.exe
O4 - HKCU\..\Run: [Hvfuslk] D:\WINDOWS\System32\l?gonui.exe
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4S2_600\watch.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} (OTXMovie Class) - http://www.otxresearch.com/OTXMedia/OTXMedia.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAF1B21-3B29-4E01-B8D9-B3893A3A02C7}: NameServer = 205.188.146.145
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - D:\WINDOWS\System32\dcom_9.dll
O21 - SSODL: System - {E701737E-8634-4538-BDEA-6B53015FE5D1} - vr_sys.dll (file missing)
O21 - SSODL: SpySheriff - {054BA454-369C-1B2D-7621-C712C7E5E428} - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - D:\WINDOWS\wanmpsvc.exe