PS Guard Problem |
||
---|---|---|
#0
| ||
24.08.2005, 14:14
Ehrenmitglied
Beiträge: 29434 |
||
|
||
24.08.2005, 14:20
Ehrenmitglied
Beiträge: 29434 |
#32
Hallo@Rave_Dave
Zitat Rave_Dave postete#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5786.tmp PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\shnlog.exe C:\WINDOWS\popuper.exe C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\intmonp.exe C:\WINDOWS\system32\intmon.exe C:\WINDOWS\system32\hp5786.tmp C:\WINDOWS\system32\msmsgs.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html *reg-Datei Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. http://www.bleepingcomputer.com/files/reg/smitfraud.reg Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken smitRem TOOL (Entfernungstool) Download: http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread Lade Ewido von dieser Seite -- poste mir das Log vom SCan http://virus-protect.org/ewido.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.08.2005, 15:00
...neu hier
Beiträge: 3 |
#33
Hallo Sabina!
Ich hab das bis jetzt soweit agemacht, nur check ich nicht ganz was du mit "den folgenden Text in den Editor kopieren ...." meinst. Und was hat das mit dem link der der mir n Eintrag in die registry macht auf sich? Allerdings ist dieser Desktophintergrund schon verschwunden (is jetzt wieder blau und ich kann wieder was einstellen) und der inet explorer lädt jetzt auch nicht mehr diese Seitesondern is wieder ganz ok. Ich bin ja kein Experte aber reicht das nicht jetzt schon? Wenn ja bedank ich mich ganz herzlich, so gings echt schnell und ich musste net formatieren |
|
|
||
24.08.2005, 16:06
Ehrenmitglied
Beiträge: 29434 |
#34
Hallo@Rave_Dave
wenn du auf den Link klickst, http://www.bleepingcomputer.com/files/reg/smitfraud.reg oeffnet sich eine Seite-->kopiere alles ab, wie beschrieben, erstelle die reg-Datei und fuege sie der Registry bei. dann poste mir die Scanreports, um die ich gebeten hatte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.08.2005, 17:09
Member
Beiträge: 18 |
#35
@ Sabrina....
Hier, hoffe es ist richtig: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 20BE-56E7 Verzeichnis von C:\WINDOWS\tasks 20.08.2005 15:00 <DIR> . 20.08.2005 15:00 <DIR> .. 05.08.2005 17:15 398 1-Klick-Wartung.job 24.08.2005 13:00 270 ADE92C599192DF95.job 18.08.2001 21:00 65 desktop.ini 24.08.2005 17:09 6 SA.DAT 4 Datei(en) 739 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Manuel\Desktop |
|
|
||
24.08.2005, 17:41
Ehrenmitglied
Beiträge: 29434 |
#36
Hallo@Kerze
CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: %systemdrive% cd C:\WINDOWS\Tasks attrib -r -s -h ADE92C599192DF95.job del ADE92C599192DF95.job - Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal ------------------------------------------------ Poste nochmals findjobs.bat + das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.08.2005, 18:56
Member
Beiträge: 18 |
#37
hi sabina.....
diesmal kann ich kein findjos.bat öffnen, geht einfach nicht aber hier der hijack: Logfile of HijackThis v1.99.1 Scan saved at 18:59:46, on 24.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hpwvfqxydjibytlfuxgf.biz/h00sxPIwJm8y0r0T8Js_3UmpChHPzG8dsOUc6ovNbDVgq3BOGnHWvU2RzcUvARhf.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxiaoupfi.biz/h00sxPIwJm_ChXpE8YVq3esYS9QrGpA2oNiw29TlBb8.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: (no name) - {AD40E9F9-B642-5D8C-5CA5-D233A317AD57} - C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [build draw chic 1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\PingInside.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B0867FC7-5DAB-4E9B-9E3B-54EB31325262}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Dieser Beitrag wurde am 25.08.2005 um 11:03 Uhr von Kerze editiert.
|
|
|
||
24.08.2005, 19:22
...neu hier
Beiträge: 3 |
#38
Hallo Sabina!
Scheint soweit alles wieder paletti zu sein. Hier die smitfiles smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ShudderLTD key present! Running LTDFix! ShudderLTD key was successfully removed! Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll wppp.html ole32vbs.exe hp***.tmp hhk.dll logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ uninstIU.exe sites.ini ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ oleext.dll wppp.html ole32vbs.exe hp***.tmp hhk.dll logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ uninstIU.exe sites.ini ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! und die summary vom scan --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 19:18:43, 24.08.2005 + Report-Checksumme: 18B1A860 + Scanergebnis: C:\Dokumente und Einstellungen\David\Cookies\david@atdmt[2].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup C:\WINDOWS\system32\hp59F7.tmp -> Trojan.Puper.g : Gesäubert mit Backup C:\WINDOWS\system32\oleext.dll -> Trojan.Small.ev : Gesäubert mit Backup C:\WINDOWS\tmp.hta -> TrojanDownloader.Psyme.at : Gesäubert mit Backup C:\WINDOWS\uninstIU.exe -> Trojan.Small.ev : Gesäubert mit Backup D:\Program Files\Altnet\Download Manager\asm.exe -> Spyware.Altnet : Gesäubert mit Backup D:\Program Files\Altnet\Download Manager\asmps.dll -> Spyware.Altnet : Gesäubert mit Backup D:\Spiele\Serious Sam II\Scripts\Addons\Cookies\anne@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup D:\Spiele\Serious Sam II\Scripts\Addons\Cookies\anne@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup D:\Spiele\Serious Sam II\Scripts\Addons\Cookies\anne@weborama[2].txt -> Spyware.Cookie.Weborama : Gesäubert mit Backup ::Report Ende Vielen Dank für die Hilfe! |
|
|
||
25.08.2005, 11:09
Ehrenmitglied
Beiträge: 29434 |
#39
Hallo Kerze
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Windir%\tasks /a h > files.txt notepad files.txt - Speichern als: finds.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text + poste auch das log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.08.2005, 11:36
Member
Beiträge: 18 |
#40
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20BE-56E7 Verzeichnis von C:\WINDOWS\tasks 24.08.2005 18:57 <DIR> . 24.08.2005 18:57 <DIR> .. 05.08.2005 17:15 398 1-Klick-Wartung.job 18.08.2001 21:00 65 desktop.ini 25.08.2005 10:17 6 SA.DAT 3 Datei(en) 469 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Manuel\Desktop Logfile of HijackThis v1.99.1 Scan saved at 11:44:52, on 25.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hpwvfqxydjibytlfuxgf.biz/h00sxPIwJm8y0r0T8Js_3UmpChHPzG8dsOUc6ovNbDVgq3BOGnHWvU2RzcUvARhf.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxiaoupfi.biz/h00sxPIwJm_ChXpE8YVq3esYS9QrGpA2oNiw29TlBb8.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: (no name) - {AD40E9F9-B642-5D8C-5CA5-D233A317AD57} - C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [build draw chic 1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\PingInside.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B0867FC7-5DAB-4E9B-9E3B-54EB31325262}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
25.08.2005, 13:22
Ehrenmitglied
Beiträge: 29434 |
#41
Hallo@Kerze
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hpwvfqxydjibytlfuxgf.biz/h00sxPIwJm8y0r0T8Js_3UmpChHPzG8dsOUc6ovNbDVgq3BOGnHWvU2RzcUvARhf.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxiaoupfi.biz/h00sxPIwJm_ChXpE8YVq3esYS9QrGpA2oNiw29TlBb8.html O2 - BHO: (no name) - {AD40E9F9-B642-5D8C-5CA5-D233A317AD57} - C:\DOKUME~1\Manuel\ANWEND~1\TRUSTA~1\Bleh Defy.exe (file missing) O4 - HKLM\..\Run: [build draw chic 1] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw\PingInside.exe neustarten das solltest du loeschen (+ alle Unterodner) C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw C:\Dokumente und Einstellungen\Manuel\Anwendungsdaten\TRUSTA~1\Bleh Defy.exe #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.08.2005, 13:44
Member
Beiträge: 18 |
#42
hab ich alles nach anweisung gemacht!!
Und was soll ich nun tun?? |
|
|
||
25.08.2005, 13:46
Ehrenmitglied
Beiträge: 29434 |
#43
wenn alles geloescht ist und du mit HijackThis gefixt hast, was ich geschrieben habe...poste das neue Log vom HijackThis
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.08.2005, 21:54
Member
Beiträge: 18 |
#44
hab alles so gemacht, wie du das beschrieben hast, hier der log, jedoch schaltet sich mein Rechner ständig aus und fährt neu hoch
Logfile of HijackThis v1.99.1 Scan saved at 22:00:24, on 25.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Manuel\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B0867FC7-5DAB-4E9B-9E3B-54EB31325262}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Dieser Beitrag wurde am 25.08.2005 um 23:06 Uhr von Kerze editiert.
|
|
|
||
25.08.2005, 23:12
Ehrenmitglied
Beiträge: 29434 |
#45
hallo@kerze
Poste nochmals findjobs.bat und arbeite das bitte ab: http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
loesche also: (auch alle Unterordner loeschen)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DvdDriveBuildDraw
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina
rund um die PC-Sicherheit