Your personal data successfully tracked! |
||
---|---|---|
#0
| ||
24.08.2005, 23:25
Member
Beiträge: 4730 |
||
|
||
24.08.2005, 23:29
Ehrenmitglied
Beiträge: 29434 |
#17
Hallo@Managor
der escan wird ein Schlag ins Wasser sein...das Log passt hier nie rein http://virus-protect.org/Artikel/spyware/mediagateway.html Fein !!!!!!! Den Satz werd ich mir auch an den PC heften und ab jetzt oefters anwenden Zitat 4. Bitte notiere Dir auf einen Zettel und hänge ihn gut sichtbar irgendwo hin: "WindowsUpdates benutzen!" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.08.2005, 02:11
Member
Beiträge: 11 |
#18
Ich kann das SP2 nicht installieren!!! ANGEBLICH ist mein Windows nicht richtig registriert. War schon von anfang an drauf. Und Online habe ich es auch registriert, aber funktioniert trotzdem nicht. HEUL...
|
|
|
||
25.08.2005, 02:17
Member
Beiträge: 4730 |
#19
Hast Du mit XP-Antispy oder was ähnlichem rumgefummelt?
Dann guck mal hier nach: http://board.protecus.de/t18819.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
25.08.2005, 02:29
Member
Beiträge: 11 |
#20
Ich habe nur "AntiVir" drauf.
Oder was meinnst du genau? So gut kenne ich mich nicht aus |
|
|
||
25.08.2005, 02:46
Member
Beiträge: 4730 |
#21
Probier einfach mal aus, was in dem Beitrag steht, den ich Dir genannt habe
Wie schauts denn mit der Reinigung aus? __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
25.08.2005, 03:16
Member
Beiträge: 11 |
#22
Habe die "Datenträgerbereinigung" gemacht -> Kein Erfolg
Habe Spywaredoctor ausprobiert, hat 31 Fehler erkannt und bereinigt. Aber auch bei Neustart des Pc´s keine besserung. Bei den Seiten (Aus dem Beitrag) habe ich die ServicePacks probiert, aber immer das gleiche problem. |
|
|
||
25.08.2005, 10:51
Ehrenmitglied
Beiträge: 29434 |
#23
Zitat 3. eScanCheck: Prüfe damit Dein System und berichte, wie es auf der Seite beschrieben ist.versuche dann abzukopieren, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.10.2005, 19:57
Member
Beiträge: 32 |
#24
Habe das Selbe Problem, nur ist bei mir der Desktop befallen!!
bitte um Hilfe! Logfile of HijackThis v1.99.0 Scan saved at 19:57:09, on 02.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\CyberLink\PowerDVDtrial\PDVDServ.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Trillian\trillian.exe C:\Programme\Winamp\winamp.exe C:\Programme\mozilla.org\Mozilla\mozilla.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\securitysuite.exe C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für KillBox.zip\KillBox.exe C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVDtrial\PDVDServ.exe O4 - HKLM\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: WindowInstallSystem - Unknown - C:\WINDOWS\f3490d74d7c.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
02.10.2005, 23:33
Ehrenmitglied
Beiträge: 29434 |
#25
Hallo@SteffenK
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe O4 - HKLM\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe O4 - HKCU\..\Run: [f3490d74d7c] C:\WINDOWS\System32\f3490d74d7c.exe O23 - Service: WindowInstallSystem - Unknown - C:\WINDOWS\f3490d74d7c.exe PC neustarten CCleaner (loesche alle temp-Dateien) http://virus-protect.org/temp.html datfindbat (poste alle 4 logs) http://virus-protect.org/datfindbat.html Lade: rkfiles.zip Original : http://skads.org/special/rkfiles.zip *entpacken *gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml *Doppelklick (Ausführen)-- rkfiles.bat -- im dos-Fenster steht : angegebener Pfad nicht gefunden ! checking the folder -- warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert) --- poste C:\log.txt silentrunner-->poste das Log http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.10.2005, 14:58
Member
Beiträge: 32 |
#26
Ich greife mal den Silent Runners log vor, dadfindbatlog ist zu lang ums hier reinzuposten
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "WinampAgent" = ""C:\Programme\Winamp\Winampa.exe"" [null data] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 [enables Active Desktop and prevents disabling it] {User Configuration|Administrative Templates|Desktop|Active Desktop| Enable Active Desktop} Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "" "Source" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html" "SubscribedURL" = "C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\bd85153da.html" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Steffen" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" = (no title provided) -> {CLSID}\InProcServer32\(Default) = "43bh2ml.dll" [file not found] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 14 seconds, including 5 seconds for message boxes) SO nun noch die letzen 3 vom Datfind, hoffe sie passen Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 7C3F-3319 Verzeichnis von C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp 03.10.2005 14:50 16.384 ~DFE69B.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 11.423.584.256 Bytes frei C: hat keine Bezeichnung. Volumeseriennummer: 7C3F-3319 Verzeichnis von C:\WINDOWS 03.10.2005 14:57 569 win.ini 03.10.2005 14:48 2.048 bootstat.dat 03.10.2005 14:48 30.524 SchedLgU.Txt 02.10.2005 20:07 3.470 f3490d74d7cdrv.sys 02.10.2005 20:06 132 winamp.ini 02.10.2005 19:31 564 f3490d74d7c.ini 26.09.2005 12:43 400 ODBC.INI 15.09.2005 14:31 34 cdplayer.ini 13.09.2005 19:54 89 dokop301.ini 26.07.2005 21:55 316.640 WMSysPr9.prx 26.07.2005 15:24 99.024 MozillaUninstall.exe 26.07.2005 15:24 8.588 mozver.dat 25.07.2005 16:44 335 nsreg.dat 25.07.2005 16:44 98.512 GREUninstall.exe 25.07.2005 12:15 231 system.ini 25.07.2005 11:28 8.192 REGLOCS.OLD 25.07.2005 11:25 0 control.ini 25.07.2005 11:24 299.552 WMSysPrx.prx 25.07.2005 11:24 4.161 ODBCINST.INI 25.07.2005 11:23 749 WindowsShell.Manifest 25.07.2005 11:21 37 vbaddin.ini 25.07.2005 11:21 36 vb.ini 08.03.2004 19:54 23 SBINET.INI 09.02.2004 10:54 65.024 SOUNDMAN.EXE 02.02.2004 12:44 139.264 alcrmv.exe 02.02.2004 12:37 208.896 alcupd.exe 08.11.2002 09:50 19.968 LOGI_MWX.EXE 29.08.2002 03:43 271.872 winhlp32.exe 29.08.2002 03:43 141.312 regedit.exe 29.08.2002 03:43 10.752 hh.exe 29.08.2002 03:43 1.007.104 explorer.exe 14.06.2002 18:46 19.274 001235_.tmp 18.02.2002 10:23 46.352 setdebug.exe 18.02.2002 07:35 6.550 jautoexp.dat 23.08.2001 14:00 65.832 Santa Fe-Stuck.bmp 23.08.2001 14:00 1.405 msdfmap.ini 23.08.2001 14:00 67.072 NOTEPAD.EXE 23.08.2001 14:00 65.978 Seifenblase.bmp 23.08.2001 14:00 1.085.913 SET3.tmp 23.08.2001 14:00 13.898 SET7.tmp 23.08.2001 14:00 17.062 Kaffeetasse.bmp 23.08.2001 14:00 17.362 Rhododendron.bmp 23.08.2001 14:00 65.954 Pr„riewind.bmp 23.08.2001 14:00 9.522 Zapotek.bmp 23.08.2001 14:00 26.582 Granit.bmp 23.08.2001 14:00 15.872 TASKMAN.EXE 23.08.2001 14:00 94.800 twain.dll 23.08.2001 14:00 46.592 twain_32.dll 23.08.2001 14:00 49.680 twunk_16.exe 23.08.2001 14:00 25.600 twunk_32.exe 23.08.2001 14:00 26.680 F„cher.bmp 23.08.2001 14:00 16.730 Feder.bmp 23.08.2001 14:00 18.944 vmmreg32.dll 23.08.2001 14:00 80 explorer.scf 23.08.2001 14:00 2 desktop.ini 23.08.2001 14:00 82.944 clock.avi 23.08.2001 14:00 257.568 winhelp.exe 23.08.2001 14:00 1.272 Blaue Spitzen 16.bmp 23.08.2001 14:00 48.680 winnt.bmp 23.08.2001 14:00 48.680 winnt256.bmp 23.08.2001 14:00 34.818 wmprfDEU.prx 23.08.2001 14:00 17.336 Angler.bmp 23.08.2001 14:00 707 _default.pif 05.07.2001 18:19 164 avrack.ini 26.02.1997 00:00 72.704 ST5UNST.EXE 65 Datei(en) 5.106.711 Bytes 0 Verzeichnis(se), 11.423.580.160 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 7C3F-3319 Verzeichnis von C:\ 03.10.2005 15:00 0 sys.txt 03.10.2005 14:59 3.452 system.txt 03.10.2005 14:59 299 systemtemp.txt 03.10.2005 14:53 97.186 system32.txt 03.10.2005 14:48 1.409.286.144 pagefile.sys 25.08.2005 07:00 5.329 CLDMA.LOG 25.07.2005 12:04 47.580 NTDETECT.COM 25.07.2005 12:04 235.296 ntldr 25.07.2005 11:20 194 boot.ini 24.07.2005 22:01 0 z.t 16.06.2005 17:16 194 $$$_.log 22.11.2004 16:34 65.536 crash.txt 27.02.2004 18:57 0 MSDOS.SYS 27.02.2004 18:57 0 CONFIG.SYS 27.02.2004 18:57 0 AUTOEXEC.BAT 27.02.2004 18:57 0 IO.SYS 20.09.2002 23:08 138.323.544 xpsp1.exe 23.08.2001 14:00 4.952 bootfont.bin 18 Datei(en) 1.548.069.706 Bytes 0 Verzeichnis(se), 11.423.576.064 Bytes frei C:\Dokumente und Einstellungen\Steffen.PROPHECY\Eigene Dateien\rkfiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished bye Dieser Beitrag wurde am 03.10.2005 um 16:02 Uhr von SteffenK editiert.
|
|
|
||
03.10.2005, 23:46
Ehrenmitglied
Beiträge: 29434 |
#27
ich brauch das log von Windows\System32 .... vom Datfindbat (du musst ja vom Datum nur ca. 20 Tage reinkopieren)
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring f3490d74d7c.exe danach: WindowInstallSystem hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten. Doppelklick:regsrch.vbs reinkopieren: f3490d74d7c.exe danach: WindowInstallSystem Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (von Symantec) --- ignorieren warnmeldung:bösartiges skript entdeckt Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs ------------------------------------------------------------------------ Zitat Gehe in die Registry __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.10.2005, 07:01
Member
Beiträge: 32 |
#28
Ja, alles in einen Post ging nicht, wegen der Zeichen-Begrenzung des Forums, und 2 Beiträge hintereinander gind auch nicht ^^.
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 7C3F-3319 Verzeichnis von C:\WINDOWS\system32 27.09.2005 07:15 144.424 FNTCACHE.DAT 18.09.2005 21:59 2.184 wpa.dbl 27.07.2005 12:22 3.799 jupdate-1.5.0_04-b05.log 26.07.2005 21:56 16.832 amcompat.tlb 26.07.2005 21:56 23.392 nscompat.tlb 26.07.2005 15:04 6 BSETUP.TMP 25.07.2005 12:20 0 h323log.txt 25.07.2005 12:16 39.992 perfc009.dat 25.07.2005 12:16 48.156 perfc007.dat 25.07.2005 12:16 316.594 perfh007.dat 25.07.2005 12:16 311.604 perfh009.dat 25.07.2005 12:16 723.744 PerfStringBackup.INI 25.07.2005 11:31 25.065 wmpscheme.xml 25.07.2005 11:28 642 $winnt$.inf 25.07.2005 11:25 2.951 CONFIG.NT 25.07.2005 11:23 488 WindowsLogon.manifest 25.07.2005 11:23 488 logonui.exe.manifest 25.07.2005 11:23 749 nwc.cpl.manifest 25.07.2005 11:23 749 ncpa.cpl.manifest 25.07.2005 11:23 749 cdplayer.exe.manifest 25.07.2005 11:23 749 wuaucpl.cpl.manifest 25.07.2005 11:23 749 sapi.cpl.manifest 25.07.2005 11:21 21.740 emptyregdb.dat 03.06.2005 03:52 127.078 javaws.exe 03.06.2005 03:52 49.265 jpicpl32.cpl 03.06.2005 02:24 49.250 javaw.exe 03.06.2005 02:24 49.248 java.exe 28.01.2005 15:23 228.352 wmerror.dll 28.01.2005 15:23 9.216 asferror.dll 28.01.2005 15:23 86.016 wmpshell.dll 28.01.2005 15:23 3.407.872 wmploc.dll 28.01.2005 15:23 316.416 MSWMDM.dll 28.01.2005 15:23 486.400 Audiodev.dll 28.01.2005 13:32 2.370.296 wmvcore.dll 28.01.2005 13:32 895.736 wmvdmod.dll 28.01.2005 13:32 1.218.808 wmvadvd.dll 28.01.2005 13:32 774.904 wmsdmod.dll 28.01.2005 13:32 396.528 wmadmod.dll 28.01.2005 13:32 258.296 drmclien.dll 28.01.2005 13:32 413.944 wmspdmod.dll 28.01.2005 13:32 364.784 MSSCP.dll 28.01.2005 08:53 290.816 WMDRMNet.dll 28.01.2005 08:53 335.872 WMDRMdev.dll 28.01.2005 08:53 502.272 drmv2clt.dll 28.01.2005 08:53 294.912 blackbox.dll 28.01.2005 08:53 96.768 drmstor.dll 28.01.2005 08:53 142.336 msnetobj.dll 28.01.2005 08:53 221.184 qasf.dll 28.01.2005 08:53 164.864 cewmdm.dll 28.01.2005 08:53 28.160 WMDMLOG.dll 28.01.2005 08:53 135.168 wmpasf.dll 28.01.2005 08:53 282.624 wmpdxm.dll 28.01.2005 08:53 1.512.448 WMVADVE.DLL 28.01.2005 08:53 33.792 WMDMPS.dll 28.01.2005 08:53 25.088 MsPMSNSv.dll 28.01.2005 08:53 173.568 MsPMSP.dll 28.01.2005 08:53 175.104 wmpsrcwp.dll 28.01.2005 08:53 716.288 wmadmoe.dll 28.01.2005 08:53 1.119.744 wmsdmoe2.dll 28.01.2005 08:53 940.544 wmspdmoe.dll 28.01.2005 08:53 1.594.880 wmpencen.dll 28.01.2005 08:53 1.003.008 wmvdmoe2.dll 28.01.2005 08:53 1.027.072 wmnetmgr.dll 28.01.2005 08:53 5.525.504 wmp.dll 28.01.2005 08:53 150.016 wmidx.dll 28.01.2005 08:53 224.768 wmasf.dll 28.01.2005 08:53 6.656 laprxy.dll 28.01.2005 08:52 20.480 wmp.ocx 28.01.2005 08:52 20.480 wmpcore.dll 28.01.2005 08:52 20.480 wmpui.dll 28.01.2005 08:52 20.480 wmpcd.dll 28.01.2005 01:36 331.264 wpdsp.dll 28.01.2005 01:36 38.912 wpd_ci.dll 28.01.2005 01:36 331.776 wpdmtpdr.dll 28.01.2005 01:36 114.176 wpdmtp.dll 28.01.2005 01:36 66.560 wpdmtpus.dll 28.01.2005 01:36 61.952 wpdconns.dll 28.01.2005 01:36 10.752 wpdtrace.dll 28.01.2005 01:36 47.104 uwdf.exe 28.01.2005 01:36 38.912 wdfmgr.exe 28.01.2005 01:35 15.872 wdfapi.dll 28.01.2005 01:26 360.448 l3codecp.acm 28.01.2005 01:21 96.768 logagent.exe |
|
|
||
04.10.2005, 14:47
Ehrenmitglied
Beiträge: 29434 |
#29
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
die Datei in einen beliebigen Ordner entpacken = dann "regsrch.vbs" doppelklicken => es öffnet sich ein Textfenster in das Du den Suchstring .... hineinkopieren kannst = OK drücken, und nach beendeter Suche zeigt das Tool die gefundenen Registryschlüssel und -werte an. Diese dann hierher in den Thread posten. ------------------------------------------------------------------------------ Doppelklick:regsrch.vbs reinkopieren: f3490d74d7c.exe danach: WindowInstallSystem Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (von Symantec) --- ignorieren warnmeldung:bösartiges skript entdeckt Object: Windows Script Host Shell Object Activity: Run File: C:\Dokumente und E..\RegSrch.vbs ----------------------------------------------------------------------- mache einen Onlinescan mit kaspersky http://virus-protect.org/onlinescan.html und berichte. Alle Logs (Silentruner, HijackThis) , die du noch mal posten sollst, sind zur Ueberpruefung. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.10.2005, 16:33
Member
Beiträge: 32 |
#30
REGEDIT4
; RegSrch.vbs © Bill James ; Registry search results for string "f3490d74d7c.exe" 04.10.2005 16:28:08 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_USERS\S-1-5-21-1409082233-602609370-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D41D8CD9-8F00-B204-E9800998ECF8427E}] "UninstallString"="\"C:\\WINDOWS\\System32\\f3490d74d7c.exe\" -un" REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "WindowInstallSystem" 04.10.2005 16:29:03 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_F3490D74D7CSVR\0000] "DeviceDesc"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f3490d74d7csvr] "DisplayName"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_F3490D74D7CSVR\0000] "DeviceDesc"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\f3490d74d7csvr] "DisplayName"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F3490D74D7CSVR\0000] "DeviceDesc"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\f3490d74d7csvr] "DisplayName"="WindowInstallSystem" So, Hijackthis, nach dem ich alles durchgeführt habe bis hierhin, was du schon oben geschrieben hast. Logfile of HijackThis v1.99.0 Scan saved at 16:40:11, on 04.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\mozilla.org\Mozilla\mozilla.exe C:\Dokumente und Einstellungen\Steffen.PROPHECY\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Achja auf meinem Desktop ist immer noch eine hässliche weisse Zone, die mir die Sicht auf meinen eigentlich Hintergrund verdeckt..... Dieser Beitrag wurde am 04.10.2005 um 16:42 Uhr von SteffenK editiert.
|
|
|
||
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [356202313ce] C:\WINDOWS\System32\356202313ce.exe
O4 - HKCU\..\Run: [356202313ce] C:\WINDOWS\System32\356202313ce.exe
2. Killbox: entpacken.
PC im abgesicherten Modus starten und Killbox starten. Aktiviere "Delete on Reboot" und füge folgendes in das Eingabefeld ein:
C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\System32\356202313ce.exe
Killbox wird Dich fragen, ob ein reboot durchgeführt werden soll ("reboot now?"). Das bestätigst Du erst nach der zweiten Datei mit Ja. Der PC wird dann neugestartet.
3. eScanCheck: Prüfe damit Dein System und berichte, wie es auf der Seite beschrieben ist.
4. Bitte notiere Dir auf einen Zettel und hänge ihn gut sichtbar irgendwo hin: "WindowsUpdates benutzen!"
Wenn wir fertig mit der Reinigung sind, sollte das das erste sein, was Du tust. ServicePack 2 und alle weiteren Updates sollten installiert werden.
5. Steige auf Firefox oder Opera um und nutze den Internet Explorer nur noch dann, wenn es wirklich nötig ist!
http://firefox-browser.de (kostenlos und quasi unendlich erweiterbar)
http://opera.com (die kostenlose Variante hat unauffällige Werbeunterstützung)
Nachtrag: Hallo Sabina, Du warst wohl wieder etwas schneller. Der TV-Movie ClickFinder ist allerdings sauber
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser