Your system is infected Warnmeldung / HiJackLogfile

#0
15.08.2005, 12:08
...neu hier

Beiträge: 2
#1 Hi, ich habe so ziemlich das gleich Problem wie in http://board.protecus.de/t18730.htm beschrieben....

Mein HiJackThis LogFile:
Logfile of HijackThis v1.99.1
Scan saved at 12:07:34, on 15.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQ4.1\ICQLite.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\programme\valve\steam\steam.exe
C:\winstall.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Matthias\Desktop\Other Things\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\WINDOWS\blank.mht
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker009.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb009.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb009.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ4.1\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\System32\vxh8jkdq2.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ4.1\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ4.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ4.1\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4ADC9849-C784-4BEC-A189-EEB190AB3C63} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4ADC9849-C784-4BEC-A189-EEB190AB3C63} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094157688842
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O21 - SSODL: System - {BDCBF396-734D-4C0F-B2BB-A18B058C223B} - vr_sys.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Da ich mich da überhaupt nich auskenne bin ich für jede Hilfe sehr dankbar.
MfG Kidd
Dieser Beitrag wurde am 15.08.2005 um 14:01 Uhr von kidd5 editiert.
Seitenanfang Seitenende
15.08.2005, 15:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 kidd5

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\WINDOWS\blank.mht
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker009.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb009.dll
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb009.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\System32\vxh8jkdq2.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {4ADC9849-C784-4BEC-A189-EEB190AB3C63} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {4ADC9849-C784-4BEC-A189-EEB190AB3C63} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)

O21 - SSODL: System - {BDCBF396-734D-4C0F-B2BB-A18B058C223B} - vr_sys.dll (file missing)

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

von hier raus reinkopieren:

C:\WINDOWS\SYSTEM\Loader.dll
C:\WINDOWS\System32\zolker009.dll
C:\WINDOWS\blank.mht
C:\WINDOWS\System32\kernels32.exe
C:\winstall.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\symcsvc.exe
C:\WINDOWS\vr_sys.dll

pc neustarten !

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken.



REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-





**


Taskmanager aktivieren;)falls er deaktiviert ist)


Start--Ausfuehren-->regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableTaskMgr

Wert = 0 setzen (falls dort vorher eine 1 steht)


smitRem TOOL (Entfernungstool)-->poste mir die Textdatei vom SCan
http://noahdfear.geekstogo.com/
Oeffne smitRem folder, Doppelklick: RunThis.bat

warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

-------------

Lade Ewido von dieser Seite -->scannen (poste mir bitte den Report vom SCan)
http://virus-protect.org/antivirenfree.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2005, 19:10
...neu hier

Themenstarter

Beiträge: 2
#3 txt: PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.


Vielen Dank, jetzt ist alles wie vorher!
Danke danke danke, hast mir super geholfen!
MfG Kidd
Seitenanfang Seitenende
16.08.2005, 14:46
...neu hier

Beiträge: 6
#4 Ich hab dasselbe Problem mit dem "Your system is infected" und ich kriegs auch nicht weg wenn ich bei regedit die sachen von 1 auf 0 setze gehts wieder zurück ;(. Hab auch schon mehrere Threads durchgeblättert und alle möglichen Programme runtergeladen und laufen lassen. Diverse Dateien x-mal gelöscht aber es geht nicht weg.
Er findet immer wieder das PSguard irgendwo und intell32.exe .. erscheint immer wieder! Ich hab hier mal die logs (mit denen ich nich allzuviel anfangen kann)! Wäre super wenn mir jemand weiterhelfen könnte.

Logfile of HijackThis v1.99.1
Scan saved at 14:45:16, on 16.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINNT\System32\RUNDLL32.EXE
C:\WINNT\Twain_32\FlatBed\HotKey.exe
C:\WINNT\System32\devldr32.exe
C:\WINNT\Logi_MwX.Exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\intell32.exe
C:\Bases_X\mwavscan.com
C:\Bases_X\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HiJackThis\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RefreshLock] D:\Programme\windowstuning\xp\refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HotKey] C:\WINNT\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINNT\System32\intell32.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [WrCtrl] C:\Programme\WinRoute Pro\WrCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CFA6097-1756-4F5C-B408-4D4A94A97D7E}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

edit:
mit eScan bringt er das hier:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 16 13:19:17 2005 => File C:\WINNT\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:19:17 2005 => File C:\WINNT\System32\OLEEXT.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:19:34 2005 => File C:\WINNT\System32\intell32.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:19:45 2005 => File C:\WINNT\System32\intell32.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:20:16 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 16 13:30:53 2005 => Scanning File C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\052N4HUZ\searchmaidinfected[1].htm
Tue Aug 16 13:33:15 2005 => File C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZRJ249P\enter[1].cab infected by "Trojan.Win32.StartPage.vh" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:33:21 2005 => File C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZRJ249P\outxxx[1].jpg infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:34:53 2005 => Scanning File C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9872XU1\wp(infecteddesktop)zloader3[1].jpg
Tue Aug 16 13:43:29 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:48:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Aug 16 13:48:49 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\crss.VIR
Tue Aug 16 13:48:49 2005 => File C:\Programme\AVPersonal\INFECTED\crss.VIR infected by "P2P-Worm.Win32.SpyBot.gen" Virus! Action Taken: No Action Taken.
Tue Aug 16 13:48:49 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\crss.VIR00
Tue Aug 16 13:48:49 2005 => File C:\Programme\AVPersonal\INFECTED\crss.VIR00 infected by "P2P-Worm.Win32.SpyBot.gen" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:09 2005 => File C:\Programme\Norton AntiVirus\Quarantine\00BA5705.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:09 2005 => File C:\Programme\Norton AntiVirus\Quarantine\15B11B12.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:09 2005 => File C:\Programme\Norton AntiVirus\Quarantine\1B427A42.tmp infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:09 2005 => File C:\Programme\Norton AntiVirus\Quarantine\1C926410.tmp infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:09 2005 => File C:\Programme\Norton AntiVirus\Quarantine\1E3D75DD.tmp infected by "Email-Worm.Win32.Lentin.g" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:10 2005 => File C:\Programme\Norton AntiVirus\Quarantine\2E336389.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:10 2005 => File C:\Programme\Norton AntiVirus\Quarantine\42FB6F3D.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:10 2005 => File C:\Programme\Norton AntiVirus\Quarantine\4FA359D8.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:10 2005 => File C:\Programme\Norton AntiVirus\Quarantine\56801C9C.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:10 2005 => File C:\Programme\Norton AntiVirus\Quarantine\5A14575C.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:11 2005 => File C:\Programme\Norton AntiVirus\Quarantine\73AF49B6.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:11 2005 => File C:\Programme\Norton AntiVirus\Quarantine\750C70B6.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:06:11 2005 => File C:\Programme\Norton AntiVirus\Quarantine\770C795F.tmp infected by "Email-Worm.Win32.Lentin.m" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:33:40 2005 => File C:\WINNT\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:34:49 2005 => File C:\WINNT\system32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:35:06 2005 => File C:\WINNT\uninstIU.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:35:12 2005 => Total Disinfected Files: 0
Tue Aug 16 14:51:42 2005 => File C:\WINNT\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:51:43 2005 => File C:\WINNT\System32\OLEEXT.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:51:57 2005 => File C:\WINNT\System32\intell32.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 14:52:06 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 16 15:00:22 2005 => File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:03:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Aug 16 15:03:04 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\crss.VIR
Tue Aug 16 15:03:04 2005 => File C:\Programme\AVPersonal\INFECTED\crss.VIR infected by "P2P-Worm.Win32.SpyBot.gen" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:03:04 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\crss.VIR00
Tue Aug 16 15:03:04 2005 => File C:\Programme\AVPersonal\INFECTED\crss.VIR00 infected by "P2P-Worm.Win32.SpyBot.gen" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:03:38 2005 => Total Disinfected Files: 0
Tue Aug 16 15:03:46 2005 => Total Disinfected Files: 0
Tue Aug 16 15:04:21 2005 => File C:\WINNT\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:04:21 2005 => File C:\WINNT\System32\OLEEXT.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:04:37 2005 => File C:\WINNT\System32\intell32.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:04:48 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 16 15:05:30 2005 => Total Disinfected Files: 0
Tue Aug 16 15:07:55 2005 => File C:\WINNT\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:07:55 2005 => File C:\WINNT\System32\OLEEXT.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:08:04 2005 => File C:\WINNT\System32\intell32.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Tue Aug 16 15:08:10 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 16 13:49:46 2005 => File C:\Programme\DVD2SVCD\D2SRoBa360.exe tagged as not-a-virus:RiskTool.Win32.Processor.20. No Action Taken.
Tue Aug 16 13:54:14 2005 => File C:\Programme\GermanFunScript\download\madilein\radmin21\radmin21.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
Tue Aug 16 13:54:15 2005 => File C:\Programme\GermanFunScript\download\madilein\radmin21.zip tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.20. No Action Taken.
Tue Aug 16 13:56:22 2005 => File C:\Programme\GermanFunScript\mirc32.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.582. No Action Taken.
Tue Aug 16 13:56:22 2005 => File C:\Programme\GermanFunScript\mirc32.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.582. No Action Taken.
Tue Aug 16 13:56:27 2005 => File C:\Programme\GermanFunScript\tools\nukenabber.exe tagged as not-a-virus:NetTool.Win32.NukeNabber.21. No Action Taken.
Tue Aug 16 14:17:52 2005 => File C:\Spiele\irc\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.
Tue Aug 16 14:21:23 2005 => File C:\WINNT\Downloaded Program Files\cssweb.dll tagged as "not-a-virus:AdWare.CSSWeb.b". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall4_86.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall4_88.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall4_94.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall4_95.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall5_20.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall5_40.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall5_48.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:10 2005 => File C:\WINNT\NDNuninstall5_64.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:11 2005 => File C:\WINNT\NDNuninstall6_10.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
Tue Aug 16 14:28:11 2005 => File C:\WINNT\NDNuninstall6_22.exe tagged as "not-a-virus:AdWare.NewDotNet". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 16 14:35:12 2005 => Total Virus(es) Found: 46
Tue Aug 16 14:35:12 2005 => Total Errors: 140
Tue Aug 16 14:35:12 2005 => Time Elapsed: 01:16:15
Tue Aug 16 14:35:12 2005 => Total Objects Scanned: 70452
Tue Aug 16 13:18:32 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 14:35:12 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 14:50:35 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 15:03:38 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 15:03:46 2005 => Virus Database Date: 2005/08/09
Tue Aug 16 15:03:49 2005 => Virus Database Date: 2005/08/09
Dieser Beitrag wurde am 16.08.2005 um 15:22 Uhr von Shai editiert.
Seitenanfang Seitenende
16.08.2005, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@Shai

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [intell32.exe] C:\WINNT\System32\intell32.exe

PC neustarten

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\Downloaded Program Files\cssweb.dll
C:\ms32.tmp
C:\Programme\AVPersonal\INFECTED\crss.VIR
C:\WINNT\uninstIU.exe
C:\WINNT\System32\OLEEXT.dll

C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\052N4HUZ\searchmaidinfected[1].htm
C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZRJ249P\enter[1].cab
C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZRJ249P\outxxx[1].jpg
C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9872XU1\wp(infecteddesktop)zloader3[1].jpg

C:\WINNT\System32\intell32.exe
C:\WINNT\NDNuninstall4_86.exe
C:\WINNT\NDNuninstall4_88.exe
C:\WINNT\NDNuninstall4_94.exe
C:\WINNT\NDNuninstall4_95.exe
C:\WINNT\NDNuninstall5_20.exe
C:\WINNT\NDNuninstall5_40.exe
C:\WINNT\NDNuninstall5_48.exe
C:\WINNT\NDNuninstall5_64.exe
C:\WINNT\NDNuninstall6_10.exe
C:\WINNT\NDNuninstall6_22.exe

PC neustarten

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
Oeffne smitRem folder, Doppelklick: RunThis.bat

warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\052N4HUZ<--loeschen
C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4ZRJ249P<--loeschen
C:\Dokumente und Einstellungen\shai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9872XU1<--loeschen

Lade Ewido von dieser Seite -- im abgesicherten Modus scannen-->poste den Report vom Scan
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2005, 16:51
...neu hier

Beiträge: 6
#6 Danke Sabina! Bin grad dabei alles zu machen. Die Dateien unter Dokumente und Einstellungen bei Temporary Internet Files find ich net (kein Content.IE5). Liegt vielleicht dran weil ich bei internetoptionen schon alles gelöscht hab?
Berichte folgen!

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! ;)


Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

wppp.html


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

wininet.dll INFECTED!! ;) Starting replacement procedure.


~~~~ Looking for C:\WINNT\system32\dllcache\wininet.dll ~~~~


~~~~ C:\WINNT\system32\dllcache\wininet.dll Present! ~~~~


~~~~ Checking dllcache\wininet.dll for infection ~~~~


~~~~ dllcache\wininet.dll Clean! ~~~~

~~~ Replaced wininet.dll from dllcache ~~~


---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:16:42, 16.08.2005
+ Report-Checksumme: E26A44A3

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -> Spyware.GameSpyArcade : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -> Spyware.GameSpyArcade : Gesäubert mit Backup
HKU\S-1-5-21-1957994488-220523388-725345543-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\GAIN -> Spyware.Gator : Gesäubert mit Backup
C:\Dokumente und Einstellungen\shai\Cookies\shai@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\shai\Cookies\shai@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\shai\Cookies\shai@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\shai\Cookies\shai@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\shai\Cookies\shai@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
C:\WINNT\system32:nhaa.dll -> TrojanDownloader.Small.azk : Gesäubert mit Backup


::Report Ende

Mein Desktop strahlt wieder Blau!! Ist jetzt alles vorbei? Nicht das sich noch irgendwo irgendwas versteckt hat. Vorhin hatte ich noch dutzende Viren und sonstige Sachen drauf und nun hab ich dutzende Antiviren Programme - fairer Tausch *g*

Danke schonmal für die schnelle Hilfe!
Dieser Beitrag wurde am 16.08.2005 um 17:25 Uhr von Shai editiert.
Seitenanfang Seitenende
16.08.2005, 17:27
Member
Avatar Gool

Beiträge: 4730
#7

Zitat

ich hab jetzt CCleaner über google geladen, tuts auch?
Ja. Aber Du solltest evtl. mal drüber nachdenken, einen anderen Browser als den Internet Explorer zu verwenden. Benutze den IE nur, wenn es ganz dringend nötig ist (zB. Windowsupdate). Online-Banking etc. ist zu unsicher über den IE, dafür verwende Firefox oder Opera!

Ach und überhaupt, wenn Du nicht Dauergast hier werden möchtest: Update Dein System umgehend! Ich meine das ServicePack 2 und alle weiteren verfügbaren Updates für Windows und seine Komponenten!
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
16.08.2005, 18:14
...neu hier

Beiträge: 6
#8 Ist Firefox soviel sicherer als IE? Nutze IE eigentlich nur aus reiner Gewohnheit .. hatte MozillaFirebird und Opera drauf aber wieder runter weil ich IE so gewohnt war. Windowsupdates bin ich grad am machen. Danke für die Infos!

Shai
Seitenanfang Seitenende
16.08.2005, 18:26
Member
Avatar Gool

Beiträge: 4730
#9 Ja! Firefox hat zwar auch Schwachstellen, wie jede Software, aber bisher ist noch kein Fall bekannt, dass ein Schaden auf eine dieser Schwachstellen zurückzuführen ist. Firefox ist definitiv sicherer als der Internet Explorer, denn der Internet Explorer ist im Prinzip eine einzige große Sicherheitslücke, da er fest in das System implementiert ist. Und nach ein bisschen Eingewöhnungszeit willst Du am liebsten nie wieder den IE nutzen ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
16.08.2005, 18:32
...neu hier

Beiträge: 6
#10 Soo - 14 Updates *hust*
War ich wohl etwas faul bisher ;)

PC zeigt keine groben Anzeichen mehr - wenn ich mit XoftSpy Scan findet er nur n paar Seltsame Registry Einträge die er mit "minor annoyance" bewertet. Was eignet sich am besten um nochmal zu checken ob auch alles 'clean' ist?

Großes Lob an euch hier! Ich hab gestern alle möglichen Sachen probiert mit löschen und so aber da ging nix voran. Nach der persönlichen Anleitung hier wars sofort erledigt! ;)
Seitenanfang Seitenende
16.08.2005, 18:42
Member
Avatar Gool

Beiträge: 4730
#11 Scanne am besten mal mit Spybot S&D und AdAware
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 16.08.2005 um 20:04 Uhr von Managor editiert.
Seitenanfang Seitenende
16.08.2005, 18:48
...neu hier

Beiträge: 6
#12 Danke!
Hast dich beim link vertippt "securtity" - falls noch wer hier was braucht und sich wundert! (und noch ein Tool mehr in meiner Sammlung *g*)
Seitenanfang Seitenende
16.08.2005, 20:05
Member
Avatar Gool

Beiträge: 4730
#13 Hab ich, ja, Link berichtigt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
16.08.2005, 20:08
...neu hier

Beiträge: 6
#14 Spybot S&D sagt - keine Spione mehr an Bord! Damit geb ich mich mal zufrieden! Thx für die Hilfe ;)

[Dieser Post wurde bereits mit Firefox verfasst :p]
Seitenanfang Seitenende
10.09.2005, 14:05
...neu hier

Beiträge: 1
#15 HIer habe das selbe problem .

meine logfile

Logfile of HijackThis v1.99.1
Scan saved at 13:59:58, on 10.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Xin0r_2\Desktop\KillBox.exe
C:\Dokumente und Einstellungen\Xin0r_2\Desktop\Sonstiges\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\WINDOWS\blank.mht
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O15 - Trusted Zone: *.asdbiz.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: