Neuer Rechnung.pdf.exe / T-com-Rechnung.pdf.exe TrojanerThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
17.10.2005, 12:10
Ehrenmitglied
Beiträge: 29434 |
||
|
||
17.10.2005, 15:09
Member
Beiträge: 14 |
#32
So hier ist das Ganze, was das Programm "gescant" hat :
Logfile of HijackThis v1.99.1 Scan saved at 15:14:49, on 17.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\XP\System32\smss.exe C:\WINDOWS\XP\system32\winlogon.exe C:\WINDOWS\XP\system32\services.exe C:\WINDOWS\XP\system32\lsass.exe C:\WINDOWS\XP\system32\svchost.exe C:\WINDOWS\XP\System32\svchost.exe C:\WINDOWS\XP\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\XP\System32\svchost.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\GEMEIN~1\AOL\AOLPRI~1\AOLSP Scheduler.exe C:\SpeedUp\SpeedItUp.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\WINDOWS\XP\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft ActiveSync\WCESMgr.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Programme\Microsoft Works\MSWorks.exe C:\Programme\AOL 9.0b\waol.exe C:\Programme\AOL 9.0b\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\WINDOWS\XP\explorer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\JMaschke\LOKALE~1\Temp\Rar$EX01.687\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\AOL\AOLPRI~1\AOLSP Scheduler.exe" O4 - HKLM\..\Run: [SpeedItUp] C:\SpeedUp\SpeedItUp.exe -MINI O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [IPFW] c:\windows\xp\system32\ipwf.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_2 -reboot 1 O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\XP\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {9BAC30D5-A416-40C2-810B-D55B31413BB4} (WebComputerID Class) - http://pmweb.prodanet.com/AuthServer/InstallPlugins/ieWebComputerID.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{33A469DF-2FEC-478E-9B29-C6BF23AA44D0}: NameServer = 192.168.5.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{8170F6A5-F23F-44C6-8B79-02A9561DD9A2}: NameServer = 205.188.146.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{96A5D9E9-2E69-4E36-AF10-66EA803C3FE3}: NameServer = 192.168.5.200 O17 - HKLM\System\CS1\Services\Tcpip\..\{33A469DF-2FEC-478E-9B29-C6BF23AA44D0}: NameServer = 192.168.5.254 O17 - HKLM\System\CS2\Services\Tcpip\..\{33A469DF-2FEC-478E-9B29-C6BF23AA44D0}: NameServer = 192.168.5.254 O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\XP\SYSTEM32\mcfCC4.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\Gemeinsame Dateien\AOL\AOL Privacy Protection\\aolserv.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe Und was passiert jetzt ??? Kenne bisher nur Auto-Foren und keine PC-Foren... MfG Jörg |
|
|
||
17.10.2005, 15:20
Ehrenmitglied
Beiträge: 29434 |
#33
kopiere hier die 4 Logs (mit der pfadangabe oberhalb----2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.10.2005, 17:15
Member
Beiträge: 14 |
||
|
||
18.10.2005, 00:33
Ehrenmitglied
Beiträge: 29434 |
#35
auf der seite ist genau erklaert, was du tun musst....jeder Klick ist erklaert.
http://virus-protect.org/datfindbat.html alle Dateien vom PC werden dem Datum nach aufgefuehrt.... (du musst es nur aus dem Texteditor abkopieren) wenn du was nicht verstehst...dann frag wieder Ich brauche diese 4 Logs..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.10.2005, 18:43
Member
Beiträge: 14 |
#36
So glaube es verstanden zu haben :
Verzeichnis von C:\WINDOWS\XP\system32 17.10.2005 09:08 13.084 wpa.dbl 05.10.2005 04:09 2.301.792 MRT.exe 04.10.2005 17:26 3.013.120 mshtml.dll 23.09.2005 05:06 8.491.520 shell32.dll 14.09.2005 14:11 0 02.exe 14.09.2005 14:11 0 backup.exe 14.09.2005 14:11 0 unix.exe 12.09.2005 17:53 12 tickcnt.bin 10.09.2005 03:54 2.067.968 cdosys.dll 03.09.2005 01:53 96.768 inseng.dll 03.09.2005 01:53 205.312 dxtrans.dll 03.09.2005 01:53 474.112 shlwapi.dll 03.09.2005 01:53 448.512 mshtmled.dll 03.09.2005 01:53 146.432 msrating.dll 03.09.2005 01:53 39.424 pngfilt.dll 03.09.2005 01:53 605.696 urlmon.dll 03.09.2005 01:53 664.064 wininet.dll 03.09.2005 01:53 55.808 extmgr.dll 03.09.2005 01:53 251.392 iepeers.dll 03.09.2005 01:53 1.484.288 shdocvw.dll 03.09.2005 01:53 530.432 mstime.dll 03.09.2005 01:53 152.064 cdfview.dll 03.09.2005 01:53 1.019.904 browseui.dll 03.09.2005 01:53 1.055.744 danim.dll 01.09.2005 03:44 292.352 winsrv.dll 01.09.2005 03:44 19.968 linkinfo.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3612-1305 Verzeichnis von C:\DOKUME~1\JMaschke\LOKALE~1\Temp 18.10.2005 18:38 2.759 pifrqrperz.ABI 18.10.2005 18:38 4 PMShared 18.10.2005 18:05 2.759 rxupfnzterbw.ABI 18.10.2005 09:41 2.759 ohypgupnupvegf.ABI 17.10.2005 17:32 219.969 wcesmgr.log 17.10.2005 09:13 103.774 outstore.log 17.10.2005 09:12 5.122 WCESCOMM.LOG 17.10.2005 08:35 16.384 ~WRF1406.tmp 17.10.2005 08:35 512 ~DFDBDE.tmp 15.10.2005 12:22 10.538 control.xml 14.10.2005 15:38 36.898 WcesView.log 14.10.2005 12:18 47.616 ~WRS3828.tmp 14.10.2005 12:18 16.384 ~WRF4063.tmp 14.10.2005 11:56 3.144 mso23C.icm 14.10.2005 11:08 118 ~WRS0829.tmp 14.10.2005 11:08 16.384 ~WRF2351.tmp 13.10.2005 10:50 49.152 ~DF6943.tmp 13.10.2005 09:55 49.152 ~DFC34D.tmp 12.10.2005 11:18 819.912 FlashPlayerUpdate.exe 12.10.2005 10:23 77.824 PCJMASCHKE_DB3128.XXX 12.10.2005 10:20 77.824 PCJMASCHKE_DB1772.XXX 12.10.2005 09:27 77.824 PCJMASCHKE_DB1012.XXX 11.10.2005 14:51 76.078 AOL367.tmp 11.10.2005 12:43 311.296 ~DF8DB6.tmp 24.09.2005 14:38 98.304 ~DF83EE.tmp 24.09.2005 12:35 77.824 PCJMASCHKE_DB2240.XXX 24.09.2005 12:30 77.824 PCJMASCHKE_DB812.XXX 24.09.2005 11:57 77.824 PCJMASCHKE_DB2928.XXX 24.09.2005 10:55 98.304 ~DF9A13.tmp 23.09.2005 10:15 81.920 ~DF79E6.tmp 22.09.2005 18:25 1.228 1CUQEPUT.htm 21.09.2005 17:58 11.485.184 ~WRF1162.tmp 21.09.2005 17:58 14.349 ~WRS3069.tmp 21.09.2005 17:58 1.869 ~WRD1386.doc 21.09.2005 17:42 540 mso50.icm 21.09.2005 11:29 49.152 ~DFA39.tmp 20.09.2005 14:49 49.152 ~DF2FAF.tmp 20.09.2005 14:15 55.590 TWAIN.LOG 20.09.2005 14:14 3 Twain001.Mtx 20.09.2005 14:14 156 Twunk001.MTX 19.09.2005 18:36 23.552 ~WRS3824.tmp 19.09.2005 18:36 2.373 ~WRD1236.doc 19.09.2005 18:36 43.712.512 ~WRF3037.tmp 19.09.2005 15:16 3.144 mso189.icm 19.09.2005 11:05 16.384 ~WRF0006.tmp 19.09.2005 11:05 5.390 ~WRS0001.tmp 19.09.2005 08:56 2.755 wecerr.txt 17.09.2005 18:35 17.727.488 ~WRF4027.tmp 17.09.2005 18:31 1.293 ~WRD1000.doc 17.09.2005 15:25 49.152 ~DFD344.tmp 17.09.2005 14:23 49.152 ~DFE260.tmp 15.09.2005 18:58 98.304 ~DF9CE5.tmp 15.09.2005 18:57 3.170 h2r30A6.tmp 14.09.2005 16:13 32.768 ~DFB06D.tmp 14.09.2005 14:19 260 AVP7F6.tmp 14.09.2005 10:43 774.144 sfsprres.dll 14.09.2005 10:36 32.768 ~DFE7EC.tmp 14.09.2005 10:10 77.824 PCJMASCHKE_DB1324.XXX 13.09.2005 11:28 54.272 ~$_lock.tmp 13.09.2005 10:40 81.920 ~DF9F5F.tmp 13.09.2005 09:54 37.619 h2r2FB.tmp 13.09.2005 08:48 93.826 MSIe06c8.LOG 12.09.2005 17:53 32.768 ~DFE2A4.tmp 10.09.2005 08:03 81.920 ~DF1023.tmp 10.09.2005 07:35 19.611.648 ~WRF1975.tmp 06.09.2005 15:49 16.384 ~WRF3899.tmp 06.09.2005 14:52 104 DES40.tmp.xxx 06.09.2005 14:52 124 DES3F.tmp.xxx 06.09.2005 14:52 106 DES3E.tmp.xxx 06.09.2005 14:52 100 DES3D.tmp.xxx 06.09.2005 14:52 110 DES3C.tmp.xxx 06.09.2005 14:52 100 DES3B.tmp.xxx 06.09.2005 14:52 126 DES3A.tmp.xxx 06.09.2005 14:51 110 DES39.tmp.xxx 06.09.2005 14:44 1.039.067 DES38.tmp.xxx 06.09.2005 09:41 7.942 89OHDUMK.htm 05.09.2005 17:02 6.146 Y7SHQXTL.htm 05.09.2005 10:58 77.824 PCJMASCHKE_DB3172.XXX 05.09.2005 10:56 77.824 PCJMASCHKE_DB3664.XXX 04.09.2005 17:13 3.028.992 ~WRD2895.tmp 04.09.2005 14:20 3.028.480 ~WRD1693.tmp 04.09.2005 11:43 3.028.480 ~WRD1211.tmp 03.09.2005 22:26 3.028.480 ~WRD1944.tmp 03.09.2005 13:57 3.028.480 ~WRD3419.tmp 03.09.2005 11:18 3.028.480 ~WRD0859.tmp 03.09.2005 01:24 3.028.992 ~WRD1685.tmp 02.09.2005 21:28 3.028.480 ~WRD0046.tmp 02.09.2005 18:29 3.028.480 ~WRD1017.tmp 02.09.2005 18:28 3.028.480 ~WRD3656.tmp 02.09.2005 14:34 512 ~DF6084.tmp 02.09.2005 14:34 512 ~DF604F.tmp 02.09.2005 14:14 512 ~DFF9A8.tmp 02.09.2005 14:14 3.028.480 ~WRD3562.tmp 02.09.2005 12:45 77.824 PCJMASCHKE_DB2968.XXX 02.09.2005 11:01 3.028.480 ~WRD2619.tmp 02.09.2005 10:00 512 ~DF5B8F.tmp 02.09.2005 09:40 32.768 ~DF3BEF.tmp 02.09.2005 09:40 16.384 ~DF3336.tmp 02.09.2005 09:40 512 ~DFD1AC.tmp 02.09.2005 03:26 3.028.480 ~WRD1919.tmp 01.09.2005 19:24 4.096 off30E.tmp 01.09.2005 19:21 3.028.480 ~WRD3357.tmp 01.09.2005 16:35 3.028.480 ~WRD1086.tmp 01.09.2005 13:13 3.028.480 ~WRD0396.tmp 01.09.2005 10:17 3.027.968 ~WRD3490.tmp 01.09.2005 09:59 34.816 off1C.tmp 01.09.2005 09:32 3.027.968 ~WRD0306.tmp 01.09.2005 09:31 3.136.502 ~WRS1325.tmp 01.09.2005 09:31 16.384 ~WRF0464.tmp 01.09.2005 09:30 512 ~DFD62E.tmp 01.09.2005 08:52 3.027.456 ~WRD2587.tmp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3612-1305 Verzeichnis von C:\WINDOWS\XP 18.10.2005 08:49 2.011 win.ini 17.10.2005 09:09 0 0.log 17.10.2005 09:09 157 wiadebug.log 17.10.2005 09:08 2.048 bootstat.dat 15.10.2005 18:49 171.065 setupact.log 15.10.2005 12:22 105.291 wmsetup.log 15.10.2005 08:45 2.081.366 WindowsUpdate.log 14.10.2005 18:35 32.556 SchedLgU.Txt 14.10.2005 18:35 50 wiaservc.log 14.10.2005 11:33 23.004 KB901017.log 14.10.2005 11:33 21.768 ocmsn.log 14.10.2005 11:33 16.625 tabletoc.log 14.10.2005 11:33 540.617 iis6.log 14.10.2005 11:33 137.504 comsetup.log 14.10.2005 11:33 1.393 imsins.log 14.10.2005 11:33 192.683 tsoc.log 14.10.2005 11:33 85.932 ntdtcsetup.log 14.10.2005 11:33 20.308 msgsocm.log 14.10.2005 11:33 60.372 netfxocm.log 14.10.2005 11:33 375.673 FaxSetup.log 14.10.2005 11:33 222.011 ocgen.log 14.10.2005 11:33 26.406 medctroc.Log 14.10.2005 11:33 143.962 msmqinst.log 14.10.2005 11:33 25.431 KB902400.log 14.10.2005 11:33 1.393 imsins.BAK 14.10.2005 11:32 22.938 updspapi.log 14.10.2005 11:32 15.559 KB896688.log 14.10.2005 11:31 14.292 KB899589.log 14.10.2005 11:31 14.614 KB905414.log 14.10.2005 11:30 14.329 KB900725.log 14.10.2005 11:29 11.662 KB904706.log 14.10.2005 11:29 12.276 KB905749.log 12.10.2005 11:18 84.318 setupapi.log 05.09.2005 15:31 120 sfLicence.inf Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3612-1305 Verzeichnis von C:\ 18.10.2005 18:47 0 sys.txt 18.10.2005 18:47 8.734 system.txt 18.10.2005 18:42 15.587 systemtemp.txt 18.10.2005 18:41 101.215 system32.txt 17.10.2005 09:08 267.964.416 hiberfil.sys 17.10.2005 09:08 402.653.184 pagefile.sys 17.03.2005 11:36 826 log.txt 16.11.2004 09:49 2.054.457 search.log 02.11.2004 13:48 758 Acrobat Reader 5.0.lnk 01.10.2004 17:57 87.961 amfiledeploy.LOG Haut das jetzt hin ???? Vielen Dank schonmal. MfG Jörg |
|
|
||
19.10.2005, 00:17
Member
Beiträge: 4730 |
#37
Oh, Du bist ja schon recht lange infiziert. Und wenn ich richtig sehe, hast Du von beiden was bekommen... Du solltest nach der Säuberung (die recht fix geht) alle Deine Passworte etc. ändern:
Zitat @managor, damit es kein Durcheinander gibt, habe ich mal ein bisschen editiert... ist das o.k. so ???? __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
19.10.2005, 00:31
Ehrenmitglied
Beiträge: 29434 |
#38
CCleaner (loesche ALLE temporaeren Dateien !!!!!
http://virus-protect.org/temp.html gehe in die Registry Start-->ausfuehren--> regedit (reinschreiben) Bearbeiten--> suchen-->ipwf.exe HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile\ AuthorizedApplications\List loesche: •c:\windows\xp\system32\ipwf.exe"="c:\windows\xp\system32\ipwf.exe:*:Enabled:ipwf" ---------------------------------------------------------------------------- * HKEY_CURRENT_USER\Software\iMesh <--loesche * HKEY_CURRENT_USER\Software\Kazaa<--loesche: --------------------------------------------------------------------------- HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List loesche hier, falls du findest: c:\windows\xp\system32\ipwf.exe ---------------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mcfCC4 --------------------------------------------------------------------------- Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mcfdrv HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_MCFDRV ---------------------------------------------------------------------------- schreibe mir, welchen Eintrag du unter diesem Schluessel findest HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\ ----------------------------------------------------------------------------- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [IPFW] c:\windows\xp\system32\ipwf.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8170F6A5-F23F-44C6-8B79-02A9561DD9A2}: NameServer = 205.188.146.145 O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\XP\SYSTEM32\mcfCC4.dll PC neustarten KILLBOX http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken (es kann sein, dass die temp-Dateien schon nicht mehr da sind, kopiere sie dennoch rein in die Killbox...) reinkopieren: C:\WINDOWS\XP\system32\02.exe C:\WINDOWS\XP\system32\1lo.exe C:\WINDOWS\XP\system32\backup.exe C:\WINDOWS\XP\system32\unix.exe C:\WINDOWS\XP\system32\mcfdrv.sys C:\WINDOWS\XP\system32\drivers\winut.dat C:\WINDOWS\XP\system32\wscntfy.exe C:\DOKUME~1\JMaschke\LOKALE~1\Temp\sfsprres.dll C:\DOKUME~1\JMaschke\LOKALE~1\Temp\pifrqrperz.ABI C:\DOKUME~1\JMaschke\LOKALE~1\Temp\PMShared C:\DOKUME~1\JMaschke\LOKALE~1\Temp\rxupfnzterbw.ABI C:\DOKUME~1\JMaschke\LOKALE~1\Temp\ohypgupnupvegf.ABI C:\DOKUME~1\JMaschke\LOKALE~1\Temp\89OHDUMK.htm C:\DOKUME~1\JMaschke\LOKALE~1\Temp\Y7SHQXTL.htm C:\WINDOWS\XP\SYSTEM32\mcfCC4.dll c:\windows\xp\system32\ipwf.exe c:\windows\xp\system32\tickcnt.bin und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten CCleaner (loesche ALLE temporaeren Dateien !!!!! noch einmal !!!! suche mit der Suchfunktion folgende Dateien und loesche alles, was du findest: C:\WINDOWS\XP\system32\user local files * C:\WINDOWS\XP\system32\user local files\anal_sex_photos.exe * C:\WINDOWS\XP\system32\user local files\DrWEB_Key092007.exe * C:\WINDOWS\XP\system32\user local files\HACKER's View 2.exe * C:\WINDOWS\XP\system32\user local files\julia_XXX_video.exe * C:\WINDOWS\XP\system32\user local files\Kaspersky_KEY08.exe * > LAN_hacker_ver2.exe * C:\WINDOWS\XP\system32\user local files\Mozilla_1.9.927.exe * C:\WINDOWS\XP\system32\user local files\NAV_updates__05.exe * NAV2005_keyg*hier nicht*!.exe (suche nur: NAV2005_keyg und loesche alle...die so und aehnlich heissen) * C:\WINDOWS\XP\system32\user local files\NeT_KILLER_3.84.exe * C:\WINDOWS\XP\system32\user local files\NortonAntiVirus.exe * C:\WINDOWS\XP\system32\user local files\photoshop__2005.exe * C:\WINDOWS\XP\system32\user local files\ProfessionalICQ.exe * C:\WINDOWS\XP\system32\user local files\TheBat!7.51.256.exe * C:\WINDOWS\XP\system32\user local files\WindowsXP boost.exe * C:\WINDOWS\XP\system32\user local files\XXX_teens_16-18.exe scanne mit kaspersky und poste den Scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.10.2005, 09:14
Member
Beiträge: 14 |
#39
schreibe mir, welchen Eintrag du unter diesem Schluessel findest
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\ -------------------------------------------------------------- Wenn ich die obige Geschichte öffne, werden mir weitere Unterverzeichnisse gezeigt : -DomainProfile -AuthorizedApplications -List -GloballyOpenPorts -List -StandardProfile -AuthorizedApplications -List -GloballyOpenPorts -List Auf der rechten Seite des Eintrages zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy steht nur (Standard) REG_SZ (Wert nicht gesetzt) MfG Jörg |
|
|
||
19.10.2005, 11:31
Ehrenmitglied
Beiträge: 29434 |
#40
o.k. ...ich mache mich schlau und du arbeitest inzwischen alles weitere ab
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.10.2005, 11:48
Member
Beiträge: 14 |
#41
suche mit der Suchfunktion folgende Dateien und loesche alles, was du findest:
C:\WINDOWS\XP\system32\user local files * C:\WINDOWS\XP\system32\user local files\anal_sex_photos.exe * C:\WINDOWS\XP\system32\user local files\DrWEB_Key092007.exe * C:\WINDOWS\XP\system32\user local files\HACKER's View 2.exe * C:\WINDOWS\XP\system32\user local files\julia_XXX_video.exe * C:\WINDOWS\XP\system32\user local files\Kaspersky_KEY08.exe * > LAN_hacker_ver2.exe * C:\WINDOWS\XP\system32\user local files\Mozilla_1.9.927.exe * C:\WINDOWS\XP\system32\user local files\NAV_updates__05.exe * NAV2005_keyg*hier nicht*!.exe (suche nur: NAV2005_keyg und loesche alle...die so und aehnlich heissen) * C:\WINDOWS\XP\system32\user local files\NeT_KILLER_3.84.exe * C:\WINDOWS\XP\system32\user local files\NortonAntiVirus.exe * C:\WINDOWS\XP\system32\user local files\photoshop__2005.exe * C:\WINDOWS\XP\system32\user local files\ProfessionalICQ.exe * C:\WINDOWS\XP\system32\user local files\TheBat!7.51.256.exe * C:\WINDOWS\XP\system32\user local files\WindowsXP boost.exe * C:\WINDOWS\XP\system32\user local files\XXX_teens_16-18.exe ------------------------------------------------------------------- Die SUCHE hat da gar nichts gefunden.... MfG Jörg |
|
|
||
19.10.2005, 11:49
Ehrenmitglied
Beiträge: 29434 |
#42
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+ Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren findest du: C:\WINDOWS\XP\system32\user local files ? wenn nicht, arbeite weiter und am Ende mache den scan mit Kaspersky+ poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.10.2005, 08:17
Member
Beiträge: 14 |
#43
scanne mit kaspersky und poste den Scanreport
http://virus-protect.org/onlinescan.html __________ Der Virenscan ist superlange gelaufen (habe ihn gestern um ca. 12:30h gestartet) und als ich ins Bett gegangen bin, war er immer noch am suchen - eine Sache hatte er auch bereits gefunden und war bei ca. 50% der abzuarbeitenden Bereiche... Heute morgen war das Programm verschwunden, will sagen mein Browser war noch offen (AOL) aber das kaspersky- Programm war nicht mehr zu sehen... Wo finde ich jetzt den Scanreport ??? MfG Jörg und schonmal vielen Dank für die super Hilfe die ich hier bekommen !!!!!! |
|
|
||
20.10.2005, 13:56
Ehrenmitglied
Beiträge: 29434 |
#44
oh je...der ist bei Schliessen der Seite verlorengegangen...aber ich muss ihn sehen...scanne noch mal, aber zeitlich so, dass du bei Ende den scanreport abkopieren kannst....
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.10.2005, 22:59
Member
Beiträge: 14 |
#45
Habe es geschafft, der Scan zeigt folgendes an:
________________________________________________________________ The scan is complete. Attention, your computer is infected. The following infected files/objects were found during the scan: File Name Virus Name Send C:\Programme\No...Quarantine\3D980FD0 Exploit.JS.ActiveXComponent send Please wait, this process may take a long time depending on the selected target. If you want to continue browsing, open a new window. Scan Progress [93%]: Total number of scanned files: 186262 Number of viruses found: 1 Number of infected objects: 1 Number of suspicious objects: 0 Duration of the scan process: 24138.97 sec New Scan _________________________________________________________________ File Name Virus Name Send C:\Programme\Norton AntiVirus\Quarantine\3D980FD0 Exploit.JS.ActiveXComponent send ________________________________________________________________ All site search Virus search Phrase to find: "Exploit.JS.ActiveXComponent" Found: 1 Exploit.JS.ActiveXComponent This is an MS Internet Explorer and Outlook security breach (com.ms.activeX.ActiveXComponent security vulnerability). The security flaw allows remote scripts and HTML pages to access to any ActiveX control installed on a victim's computer. The remote script can gain full contol over a victim's... ________________________________________________________________ So hoffe, daß ich alle Protokolle gefunden habe und richtig eingefügt habe. Kann man jetzt schon was sagen, ob man den PC davon befreien kann ??? MfG Jörg |
|
|
||
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
kopiere hier die 4 Logs (mit der pfadangabe oberhalb----2 Monate vom Datum her reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina
rund um die PC-Sicherheit