Home » Spyware & Browser Hijacker Support Forum » TR/Drp.Small.OW.2.A und keine Ahnung von Hijackthis » Themenansicht
TR/Drp.Small.OW.2.A und keine Ahnung von Hijackthis |
||
|---|---|---|
| #0
| ||
|
17.08.2005, 03:43
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
17.08.2005, 03:52
Member
 Beiträge: 4730 |
#2
Lade Dir HijackThis (HJT): http://virus-protect.org/hjtkurz.html
Dort ist auch eine Anleitung, wie Du ein HJT-Log machst. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
17.08.2005, 13:30
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Managor,
Danke für eine so schnelle Antwort. Habe Antivir und Spybot noch einige male durchlaufen lassen, aber kamen teilweise die selben Trojaner wie gestern, die gehen anscheinend nicht weg. Habe mir Hijackthis gezogen und hier ist mein aktuelles Logfile: Logfile of HijackThis v1.99.1 Scan saved at 13:25:30, on 17.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\shnlog.exe C:\WINDOWS\System32\msole32.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe D:\Programme\Office Mouse\moffice.exe D:\Programme\GuitarFX v2.18\uninstall.exe D:\Programme\iTunes\iTunesHelper.exe D:\Programme\Office Mouse\MOUSE32A.EXE D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\intmon.exe D:\Programme2\Razor\Razor.exe D:\Programme\ICQLite\ICQLite.exe D:\Spiele\Ultima Online 2D\Client_AOS_2D_V.4.0.0c.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Setup-Programme\EasyUO400c.exe C:\Programme\Windows Media Player\wmplayer.exe D:\HiJack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cyberlink.com.tw/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=2.55&Cd_Key=MV3746E799591493&Company=.&FName=SchwarzMetaller&Lang=Deu R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R3 - Default URLSearchHook is missing O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpA884.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\docntrop.dll (file missing) O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] D:\Programme\Office Mouse\moffice.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [uninstall] D:\Programme\GuitarFX v2.18\uninstall.exe O4 - HKLM\..\Run: [teqq32] dePloy.exe O4 - HKLM\..\Run: [bnui] new32.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe" O4 - HKCU\..\Run: [FLKPT] AliceSD.exe O4 - HKCU\..\Run: [StatusCheck] 34763.exe O4 - HKCU\..\Run: [progmen] new32.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{833ADFCB-219C-4778-925C-9B80DAF2C240}: NameServer = 69.50.176.197,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31 O17 - HKLM\System\CS2\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31 O18 - Filter: text/html - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll O18 - Filter: text/plain - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll O20 - Winlogon Notify: style2 - C:\WINDOWS\q11525578_disk.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe was für ein Chaos....*g* danke nochmal Grüße Germane |
|
|
|
|
|
|
17.08.2005, 13:48
Ehrenmitglied
 Beiträge: 29434 |
#4
Hallo@Germane
ich will dir antworten, da @Managor im Moment nicht da ist: was haelst du von formatieren? Eine Reinigung ist nicht zu empfehlen.(obwohl sie moeglich ist......) http://virus-protect.org/kompsystem.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.08.2005, 16:07
...neu hier
Themenstarter Beiträge: 6 |
#5
Hi Sabina,
Danke für die Antwort. Jedoch muss ich wenn ich formatier, ca. 150GM herunterbrennen... Weiss nicht ob das einfacher ist. Gruß Germane |
|
|
|
|
|
|
17.08.2005, 16:31
Ehrenmitglied
Beiträge: 29434 |
#6
gehe in die Registry
Start-->Ausfuehren-->regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ loesche: WareOut "DisplayName" = "WareOut" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ loesche: WareOut "UninstallString" = "uninstall.exe #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cyberlink.com.tw/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=2.55&Cd_Key=MV3746E799591493&Company=.&FName=SchwarzMetaller&Lang=Deu R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R3 - Default URLSearchHook is missing O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpA884.tmp O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\docntrop.dll (file missing) O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [uninstall] D:\Programme\GuitarFX v2.18\uninstall.exe O4 - HKLM\..\Run: [teqq32] dePloy.exe O4 - HKLM\..\Run: [bnui] new32.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe" O4 - HKCU\..\Run: [FLKPT] AliceSD.exe O4 - HKCU\..\Run: [StatusCheck] 34763.exe O4 - HKCU\..\Run: [progmen] new32.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{833ADFCB-219C-4778-925C-9B80DAF2C240}: NameServer = 69.50.176.197,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31 O17 - HKLM\System\CS2\Services\Tcpip\..\{06AE0893-E957-45E9-AF14-FAF678827E3A}: NameServer = 69.50.176.197,195.225.176.31 O18 - Filter: text/html - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll O18 - Filter: text/plain - {19F92F6E-2A2A-450B-873E-9117BE1C6C62} - C:\WINDOWS\System32\dskrfuoui.dll O20 - Winlogon Notify: style2 - C:\WINDOWS\q11525578_disk.dll (file missing) PC neustarten Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken deinstallieren: BearShare WareOut wieder im normalmodus. •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM32\DSKRFUOUI.DLL C:\WINDOWS\System32\dskrfuoui.dll C:\WINDOWS\q11525578_disk.dll C:\Programme\WareOut\WareOut.exe C:\Programme\WareOut\WareOutUpdate.exe C:\Programme\WareOut C:\WINDOWS\System32\docntrop.dll C:\WINDOWS\System32\vpc32.exe C:\WINDOWS\System32\msmsgs.exe C:\WINDOWS\System32\hpA884.tmp C:\WINDOWS\System32\intmon.exe C:\WINDOWS\System32\shnlog.exe C:\WINDOWS\System32\msole32.exe PC neustarten Zitat suche/loesche:smitRem TOOL (Entfernungstool) Download: http://noahdfear.geekstogo.com/ öffne smitRem folder, Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Lade Ewido von dieser Seite -- im abgesicherten Modus scannen (poste mir das log vom Scan) http://virus-protect.org/ewido.html ----------- #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen einzeln in das schwarze DOS-Fenster reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 20 Tage raus. cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.08.2005, 16:56
Member
Beiträge: 4730 |
#7
Allgemeiner Hinweis an Germane:
Um Daten zu sichern, besorge Dir ein Programm zur Partitionierung Deiner Festplatte (Partition Magic von Powerquest/Symantec bietet sich dazu an, da es einfach zu bedienen ist und auch nicht sehr teuer). Damit erstellst Du Dir aus der bestehenden Festplatte eine Systemfestplatte, auf der Windows läuft, auf die andere(n) Partition(en) kannst Du dann Deine Daten speichern/sichern. Die Alternative wäre, eine zweite Festplatte in den Rechner einzubauen oder ein externes Backup-System zu verwenden (diese sind aber doch recht teuer, helfen jedoch bei einem Ausfall/Crash der Festplatte). Die Festplatte während eines Virenbefalls zu partitionieren halte ich allerdings für nicht empfehlenswert, auch wenn der eigentlich Vorgang nicht direkt unter Windows ausgeführt wird. Also sollte erstmal gereinigt werden - halte Dich deshalb genau an Sabinas Anweisungen. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
17.08.2005, 22:54
...neu hier
Themenstarter Beiträge: 6 |
||
|
|
|
|
|
17.08.2005, 23:15
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@germane
Versuche es mal, arbeite alles Schritt fuer Schritt ab und poste alles, damit ich sehen kann, was los ist  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.08.2005, 23:27
...neu hier
Themenstarter Beiträge: 6 |
#10
Danke für eure Hilfe nochmal ;-)
Die Einträge WareOut "DisplayName" = "WareOut" und WareOut "UninstallString" = "uninstall.exe befanden sich nicht in der registry, deswegen konnte ich diese nicht löschen. Aber in dem Logfile von Hijackthis habe ich alle Einträge markiert und bin dabei die auch zu fixieren, und start gleich neu. Hoffe es macht nichts wenn die ersten Sachen in der Registry nicht waren. Außerdem meldet Antivir bei jedem start die selben vieren und ich geh immer auf löschen, aber beim nächsten mal sind die wieder da. Naja nicht Viren sondern Trojaner. Also start jetzt neu. Bis gleich |
|
|
|
|
|
|
18.08.2005, 12:51
Ehrenmitglied
Beiträge: 29434 |
#11
du sollst einfach abarbeiten, was ich geschrieben habe
Und poste hier alle Reports von allen Tools, die du ausfuehrst. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
18.08.2005, 19:56
...neu hier
Themenstarter Beiträge: 6 |
#12
Hallo Sabina,
Ich habe gestern die Schritte bis zu der Killbox abgearbeitet. Dann ist während des Löschens der Rechner abgestürzt und hat sich 20 minuten lang nicht mehr starten lassen, musste die ganze zeit mitm Resetknopf rumplagen. Dann hab ich den Rest auch noch gemacht, doch trotzdem hat Antivir die Trojaner immer wieder erneut gemeldet. Dann ist der Rechner erneut abgestürzt wegen der ganzen Meldungen seitens Antivir. Musste Resetknopf wieder 30 Minuten hin und her drücken, bis der Rechner wieder richtig hochgefahren hat. Das hat mir dann gereicht ich habe DVD-Rohlinge vom Kumpel geholt und alles wichtige runtergebrannt und die Festplatte formatiert! Gleich zu Beginn habe ich Antivir und Zone Alarm installiert, außerdem habe ich jetzt den Microsoft IE gelöscht und habe Mozilla Firefox draufgemacht. Ein Programm gegen Spyware werde ich später noch installieren und Service Pack 2 von Microsoft auch, hier aber derzeitiges Logfile. Logfile of HijackThis v1.99.1 Scan saved at 19:54:14, on 18.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE D:\PROGRAMME\QuickTime\qttask.exe D:\Programme\ICQLite\ICQLite.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe D:\PROGRAMME\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRAMME\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRAMME\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "D:\PROGRAMME\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\PROGRAMME\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Und danke dir vielmals, dass du dir Zeit und Mühe genommen hast. Gruß Germane ps.: Rechner hat sich bis jetzt nicht mehr aufgehängt, und Antivir streikt nicht. |
|
|
|
|
|
|
18.08.2005, 20:11
Member
Beiträge: 4730 |
#13
Jo, so sollte es aussehen. Formatieren war wohl die richtige Entscheidung (auch wenn es lästig ist).
Nachtrag: Den IE hast Du aber nicht wirklich gelöscht, sondern nur die Verknüpfung entfernt. Den IE kann man zwar prinzipiell aus Windows richtig löschen, allerdings funktionieren dann wichtige Dinge wie WindowsUpdate nicht mehr und das System kann instabil werden (und im schlimmsten Fall gar nicht mehr laufen). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Hoffe es macht nichts aus wenn ich ein neues Thema eröffnet hab, aber bin auf nichts passendes gestoßen.
Habe kurzzeitig Firewall im Netz ausgeschalten und schon war es passiert....
Es sind gleich Pop-Ups erschienen und der Rechner meldet dass er infiziert ist.
Habe gleich Antivir installiert und Spybot. Spybot hat gleich 252 probleme gefunden von denen 6 garnicht entfernt werden konnten. Antivir hat haufen sachen gelöscht, jedoch kommt ein fenster immer wieder:
C:\WINDOWS\SYSTEM32\DSKRFUOUI.DLL
das Trojanische Pferd TR/Drp.Small.OW.2.A
Und da ich mich mit Logfiles und Hijackthis überhaupt nicht auskenn hoffe ich jemand kann mir helfen. Ich weiss nicht was ich tun soll...
Danke schonmal
Grüße