virus mögli. TROJANER über msn erhalten wie werd ich ihn los? |
||
---|---|---|
#0
| ||
18.08.2005, 02:05
Member
Beiträge: 20 |
||
|
||
18.08.2005, 02:13
Member
Beiträge: 4730 |
#32
Ja, mache das, was ich Dir gesagt habe.
Ich habe etwas vergessen, was bei HJT gefixt werden soll, und jetzt noch eingefügt, also ggf. meinen Beitrag aktualisieren. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
18.08.2005, 08:32
Member
Beiträge: 20 |
#33
Hallo Guten Morgen,
ich werd mich heut abend nach der Arbeit gleich dranmachen. War zu platt heut nacht, hab ja nur 3 Std. geschlafen...*gähn* Aber trotzdem schon mal vielen Dank Managor, ich hoffe wir bekommen das heute abend in Griff.. Liebe Grüße Armani |
|
|
||
18.08.2005, 12:46
Ehrenmitglied
Beiträge: 29434 |
#34
Armani
einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\ftpsconfig.dll Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten Zitat Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.------------------------------------------------------------------------------------------------------------- wieder im Normalmodus: Nail.exe/Software-aurora /Sahagent Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den RText ab und poste ihn http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip FindT.zip http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread danach beginnt die Reinigung (mit speziellen Tools) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2005, 19:54
Member
Beiträge: 20 |
#35
Zunächst mal ein Zwischenbericht..
Sodele Hallöchen, also managor die Schritte habe ich soweit durchgeführt. Zu dem Fix in HJT waren folgende nicht zu finden: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [iyybft] C:\WINDOWS\System32\dkarck.exe r Bei der Killbox bzw. nach dem Reboot kam die meldung Nail.exe konnte nicht gefunden werden...?^ Danach führte ich den scan mit ewido durch. Nachfolgend der Report: P.S. Ich habe alle infizierten Dateien gelöscht, war doch richtig oder?... --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 19:40:24, 18.08.2005 + Report-Checksumme: 78663FC + Scanergebnis: HKLM\SOFTWARE\Classes\Interface\{8578D35E-C6C0-4808-9A80-0F6C29A2C423} -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324} -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\Classes\TypeLib\{71EFE583-62FE-4419-9918-CA3B683F7B36} -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\HbTools -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\HbTools\HbTools -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\HbTools\HbTools\PI -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\HbTools\HbTools\PI\3.2 -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\HbTools\Hotbar -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\HbTools\Hotbar\Install -> Spyware.HotBar : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7E66936C-FEA0-4984-AD26-7B6661AC5B2E} -> Spyware.HotBar : Gesäubert mit Backup HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon -> Spyware.BetterInternet : Gesäubert mit Backup [1236] VM_01A60000 -> Adware.BetterInternet : Fehler beim Säubern [1412] C:\WINDOWS\system32\DrPMon.dll -> Adware.BetterInternet : Gesäubert mit Backup [1692] C:\WINDOWS\System32\czifdmn.exe -> Trojan.Agent.cp : Gesäubert mit Backup :mozilla.6:C:\Dokumente und Einstellungen\Bestizer\Anwendungsdaten\Mozilla\Firefox\Profiles\nac1faxk.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@abetterinternet[1].txt -> Spyware.Cookie.Abetterinternet : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@ads.pointroll[2].txt -> Spyware.Cookie.Pointroll : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@axa.addcontrol[1].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@microsofteup.112.2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@oewabox[1].txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@rotator.adjuggler[1].txt -> Spyware.Cookie.Adjuggler : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Cookies\bestizer@trafficmp[1].txt -> Spyware.Cookie.Trafficmp : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temp\Cookies\bestizer@addcontrol[2].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temp\Cookies\bestizer@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3VTKBG5P\power_remove[1].exe -> TrojanDownloader.IstBar.gi : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYBSHEB\joysaver[1].cab/m67m.ocx -> Spyware.MediaMotor : Fehler beim Säubern C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYBSHEB\MediaTicketsInstaller[1].cab/MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Fehler beim Säubern C:\eied_s7.cab/eied_s7_c_77.exe -> TrojanDownloader.Mediket.at : Fehler beim Säubern C:\Programme\MSN Messenger\riched20.dll -> Spyware.MyWebSearch : Gesäubert mit Backup C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\Medi5132.BUD/WINDOWS/Downloaded Program Files/popcaploader.dll -> Not-A-Virus.PornWare.PopCap.b : Fehler beim Säubern C:\Programme\ShopperReports -> Spyware.HotBar : Gesäubert mit Backup C:\Programme\ShopperReports\Bin -> Spyware.HotBar : Gesäubert mit Backup C:\Programme\ShopperReports\Bin\1.0.5.0 -> Spyware.HotBar : Gesäubert mit Backup C:\WINDOWS\Downloaded Program Files\m67m.ocx -> Spyware.MediaMotor : Gesäubert mit Backup C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Gesäubert mit Backup C:\WINDOWS\system32\f3PSSavr.scr -> Spyware.MyWebSearch : Gesäubert mit Backup ::Report Ende ___________________________________________________________ Nach dem Scan wurde ich auf ein paar Dinger hingewiesen, die nicht gelöscht werden konnten und gefragt ob das ganze Archiv gelöscht werden soll, ich sagte "Nein" weil ich nicht wusste ob ichs tun soll... _____________________________________________________________ escan läuft gerade...Fortsetzung folgt gleich, vielleicht kanns du ja schon etwas sagen mangor? Gruß Armani Dieser Beitrag wurde am 18.08.2005 um 20:02 Uhr von Armani editiert.
|
|
|
||
18.08.2005, 20:01
Member
Beiträge: 4730 |
#36
Sieht gut aus. Hast Du die Schritte auch gemacht, die Sabina hier noch gepostet hat?
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
18.08.2005, 20:03
Member
Beiträge: 20 |
#37
So weit bin ich noch nicht escan läuft noch danach geh ich Sabinas Schritte durch, nur noch mal zur Erklärung wie muss ich das mit dem Zitat verstehen, das Sabina reingepostet hat...
|
|
|
||
18.08.2005, 20:06
Member
Beiträge: 4730 |
#38
Lies dir alles genau durch, was in dem "Zitat" steht und befolge genau die Anweisungen darin.
Den Editor kannt Du auch mit Start -> Ausführen -> notepad öffnen. Einfach dann den Text dort reinkopieren und die Datei, wie beschrieben, speichern. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
18.08.2005, 21:56
Member
Beiträge: 20 |
#39
Hm,
also escan soweit durchgeführt..ging wohl auch nicht alles weg. Jedenfalls hiess es Virus defected, Bye escan..etc., @sabinas Schritt mit der fixme.reg hab ich durchgeführt, ganz unten hab ich noch mal eine HJT...Nur was nun.. ____________________________________________ Zu Nail.exe Microsoft Windows XP [Version 5.1.2600] PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidance If any doubt back them up first »»»»» lagitamate file's can/will show in this section. »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» Checking Windir\svcproc.exe and nail.exe. svcproc.exe Nail.exe »»»»» Checking for System32\DrPMon.dll. DrPMon.dll »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C63-D0DC Verzeichnis von C:\WINDOWS\SYSTEM32 »»»»» Checking for SAHAgent ico files. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1C63-D0DC Verzeichnis von C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»». ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\aurora ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon Driver REG_SZ DrPMon.dll ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon Driver REG_SZ DrPMon.dll _________________________________________________________________ Zu Find_T PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Wenn ich das mal richtig gemacht hab... ________________________________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 21:59:40, on 18.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\cnjdzlp.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.beepworld.de/members77/armani2505/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ozcwbs] C:\WINDOWS\System32\cnjdzlp.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09365ba9ac8a85996714/netzip/RdxIE601_de.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D7607964-CC2F-4EFA-8201-FC3C14878440}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe ___________________________________________________________ Ach noch was..mit dem Virustotal funktionierte nicht, Datei wurde nicht gefunden...? einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\ftpsconfig.dll _____________________________________________________________ Gruß Armani Dieser Beitrag wurde am 18.08.2005 um 22:16 Uhr von Armani editiert.
|
|
|
||
18.08.2005, 23:13
Ehrenmitglied
Beiträge: 29434 |
#40
Gehe in die Registry
Start-->Ausfuehren-->regedit falls es noch da ist-->loesche: HKEY_CURRENT_USER\Software\aurora HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten C:\WINDOWS\ftpsconfig.dll C:\eied_s7.cab\eied_s7_c_77.exe C:\WINDOWS\Downloaded Program Files\popcaploader.dll C:\WINDOWS\Nail.exe C:\WINDOWS\svcproc.exe ---------------------------------------------------------------------------------------------------------------------------------------------------- Nailfix Auf den Desktop entpacken Im abgesicherter Modus die Nailfix.cmd Datei ausführen(dein Schreibtisch und Ikonen verschwinden und erscheinen wieder). http://www.noidea.us/easyfile/file.php?download=20050515010747824 http://www.dknoppix.com/cgi-bin/download.cgi?Nailfix CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Loesche: -->WPYBSHEB C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYBSHEB\MediaTicketsInstaller[1].cab/MediaTicketsInstaller.ocx Hier der Link zu ABIRemove http://andymanchesta.com/Downloads/ABIremover.zip http://forum.hijackthis.de/showthread.php?t=3172 http://forum.hijackthis.de/showthread.php?t=3172 Hier nun die Schritt für Schritt Anleitung: 1. Downloade den Remover (angehängt) und speichere ihn auf deinem Desktop 2. Downloade (wenn nicht schon passiert) die neueste Hijackthis Version und entpacke sie in ihren eigene Ordner 3. Starte im abgesicherten Modus neu, starte dort keine anderen Programme, kein Internet Explorer oder ähnliches 4. Starte den ABIRemover.exe, drücke install, warte (explorer fenster verschwindet kurz) 5. starte direkt neu und erneut in den abgesicherten Modus 6. fixe mit dem mit Hijackthis F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [ozcwbs] C:\WINDOWS\System32\cnjdzlp.exe r O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe Notiere den Zufallsnamen (im Beispiel cnjdzlp.exe) und lösche die Datei in deinem System32 Ordner. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 00:39
Member
Beiträge: 20 |
#41
Sodele,
in der registry die 3 Einträge wie oben beschrieben erfolgreich gelöscht. Killbox war nur auffällig, das Nail.exe nach dem und den folgenden Neustarts anzeigte, das die Datei nicht gefunden werden kann. War aber nach dem Schritt "ABIRemove" ausführen behoben... Nailfix Schritt durchgeführt wie beschrieben... CCleaner durchgeführt.. Zitat: Loesche: -->WPYBSHEB C:\Dokumente und Einstellungen\Bestizer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPYBSHEB\MediaTicketsInstaller[1].cab/MediaTicketsInstaller.ocx konnte ich nicht finden sabina... ABIRemvoe laut Schritten durchgeführt... HJT Fix die angegebenen Dateien konnte ich in HJT nicht finden... Zitat F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [ozcwbs] C:\WINDOWS\System32\cnjdzlp.exe r O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe ______________________________________________________________ Hier jetzt noch mal aktuelle Log File... Logfile of HijackThis v1.99.1 Scan saved at 00:37:25, on 19.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\mkglhh.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Bestizer\Eigene Dateien\Installs\hijackthis\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.beepworld.de/members77/armani2505/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [kmytssq] C:\WINDOWS\System32\mkglhh.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09365ba9ac8a85996714/netzip/RdxIE601_de.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D7607964-CC2F-4EFA-8201-FC3C14878440}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe ______________________________________________________ och mensch hier is das Ding jetzt doch da F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe hab auch grad noch mal HJT scan gemacht, lässt sich aber nicht fixen oder geht das nur im abgesicherten Modus zu fixen? Die beiden unten sind aber nicht da... O4 - HKLM\..\Run: [ozcwbs] C:\WINDOWS\System32\cnjdzlp.exe r O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe Armani P.S. Danke, das ihr soviel Geduld habt... Dieser Beitrag wurde am 19.08.2005 um 00:47 Uhr von Armani editiert.
|
|
|
||
19.08.2005, 08:47
Ehrenmitglied
Beiträge: 29434 |
#42
Start -- Ausfuehren -- schreib rein: cmd
kopiere rein: sc stop SvcProc klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete SvcProc klicke "enter" kopiere rein: del C:\WINDOWS\svcproc.exe Klicke "enter" Start-->Ausfuehren-->regedit http://virus-protect.org/023service.html navegiere zu :LEGACY_SVCPROC Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“, dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] wenn du in die Registry gehst, darf unter dem Schluessel nur stehen: (der Nail ist zu loeschen) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe" C:\WINDOWS\Nail.exe Fixen:...mit dem HijackThis F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [kmytssq] C:\WINDOWS\System32\mkglhh.exe r O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe PC neustarten arbeite noch einmal mit ABIRemove die exe heisst nun: O4 - HKLM\..\Run: [kmytssq] C:\WINDOWS\System32\mkglhh.exe r __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 17:41
Member
Beiträge: 20 |
#43
Hallo Sabina,
also folgendes: beim Schritt mit cmd konnte sc stop SvcProc nicht gefunden werden. Die andern beiden funktionierten. Zitat: navegiere zu :LEGACY_SVCPROC konnte ich nicht finden, verstand auch nicht ganz wo genau das zu finden war in der registry... war ebenfalls nicht zu finden...oder war das das was du meintest unteres? HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC] Zitat: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe" C:\WINDOWS\Nail.exe habe ich im rechten Fenster gelöscht wie beschrieben, so wars doch gemeint oder? Fixen ging irgendwie nicht so richtig, nach dem dann ABI noch mal gelaufen ist, waren alle 3 anschließend weg... Hier noch mal die aktuelle Log File HJT... Logfile of HijackThis v1.99.1 Scan saved at 17:33:22, on 19.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\gsyylmi.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Bestizer\Eigene Dateien\Installs\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.beepworld.de/members77/armani2505/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [rdfnwwv] C:\WINDOWS\System32\gsyylmi.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09365ba9ac8a85996714/netzip/RdxIE601_de.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D7607964-CC2F-4EFA-8201-FC3C14878440}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe ______________________________________________________ Gruß Armani |
|
|
||
19.08.2005, 17:56
Ehrenmitglied
Beiträge: 29434 |
#44
Zitat war ebenfalls nicht zu finden...oder war das das was du meintest unteres?WENN DU IN DER Registry findest: (bearbeiten-->suchen) SVCPROC speziell:LEGACY_SVCPROC dann bitte loeschen (wie weiter oben erklaert) ---------------------------------------------------------------------------- Fixe mit dem HijackThis : O4 - HKLM\..\Run: [rdfnwwv] C:\WINDOWS\System32\gsyylmi.exe r und arbeite noch einmal mit:ABIRemove + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2005, 18:31
Member
Beiträge: 20 |
#45
Klasse Mensch :-),
habe LEGACY_SVCPROC Ordner gelöscht. Fixen war auch erfolgreich... Hier das neue Log HJT Logfile of HijackThis v1.99.1 Scan saved at 18:23:00, on 19.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\kuubrtb.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Bestizer\Eigene Dateien\Installs\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.beepworld.de/members77/armani2505/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ufbbyrw] C:\WINDOWS\System32\kuubrtb.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09365ba9ac8a85996714/netzip/RdxIE601_de.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D7607964-CC2F-4EFA-8201-FC3C14878440}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe _________________________________________________________ Kannst du mir noch einen guten Tip geben was ich noch verbessern kann, sprich anstatt Norton Systemworks (bin nicht zufrieden damit, lahmt total) und eine Firewall was empfehlenswert ist. Ansonsten hab ich noch Ad Aware aber das ist doch ok oder? In andern Threads hab ich schon gesehen, das darauf hingewiesen wird, SP 2 zu downloaden, ich habe noch SP 1, sollte ich auch machen oder..kannst du mir den Link geben *bettel* Dann die ganzen Sache escan,ewido, die ganzen downloads die ich gemacht habe zum killen usw., soll ich die einfach drauf lassen bzw. die ewido, escan sind doch begrenzt benutzbar oder als Testversion wenn ich mich nicht verlesen habe.. Fixme und nailfix auf Desktop lassen oder was tun... Vieeeeeeeeeeeeeeeeeeeeeeeelen Lieeeeeeben Dank schonmal Gruß Armani :-) |
|
|
||
@ Merlinx das hab ich gemacht,
das ist die Kurzauswertung:
C:\WINDOWS\System32\dkarck.exe - Unbekannt
R3 - Default URLSearchHook is missing - Böse
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe - Unbekannt
O4 - HKLM\..\Run: [iyybft] C:\WINDOWS\System32\dkarck.exe r - Unbekannt
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe - Böse
O4 - Global Startup: palstart.exe - Unbekannt
O8 - Extra context menu item: Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk754YYDE - Böse
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab - Böse
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab - Eventuell Böse
O18 - Filter: text/html - {0EB00690-8FA1-11D3-96C7-829E3EA50C29} - C:\WINDOWS\ftpsconfig.dll - Eventuell Böse
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe - Unbekannt
@ Managor trotzdem schon mal deine Schritte ausführen oder noch nicht?
Gruß Armani