Home » Spyware & Browser Hijacker Support Forum » computer have a risk... und HCLEAN.exe » Themenansicht
computer have a risk... und HCLEAN.exe |
||
|---|---|---|
| #0
| ||
|
23.08.2005, 15:50
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
23.08.2005, 16:22
Member
Themenstarter Beiträge: 14 |
#17
... ich hab das "hclean" nicht in der Registry
silentrunner zeigts aber immer wieder an... was mache ich falsch ? reg auszug: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EMmonitor"="C:\\Programme\\EpsonNet\\EpsonNet WebManager\\bin\\EMMONITOR.exe" "NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\System32\\NvCpl.dll,NvStartup" "nForce Tray Options"="sstray.exe /r" "AVGCtrl"="C:\\Programme\\AVPersonal\\AVGNT.EXE /min" "Synchronization Manager"="mobsync.exe /logon" ich geh jetzt in abgesichert und starte die .reg datei ... und poste silentrunnerlog! |
|
|
|
|
|
|
23.08.2005, 16:28
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
23.08.2005, 16:35
Member
Themenstarter Beiträge: 14 |
#19
#### EDIT ####
Habe letztendlich mit "TweakPower" Die besagten Einträge gefunden und gelöscht... Dann nochmal die Reg im abgesicherten gefixed neugebootet und silentrunner Log: "Silent Runners.vbs", revision 40, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "PopMessenger" = "C:\Programme\PopMessenger\PopMessenger.exe" ["LeadMind Development"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "EMmonitor" = "C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe" [null data] "NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS] "nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] "Synchronization Manager" = "mobsync.exe /logon" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {AE7CD045-E861-484f-8273-0445EE161910}\(Default) = "AcroIEToolbarHelper Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"] "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.0\program\shlxthdl.dll" ["Sun Microsystems, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."] HKLM\System\CurrentControlSet\Control\Session Manager\ INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], ["O&O Software GmbH"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."] AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Fix-It Menu\(Default) = "{A50302A0-8E15-11d2-887B-006008C1C087}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll" ["Ontrack Data International"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ Fix-It Menu\(Default) = "{A50302A0-8E15-11d2-887B-006008C1C087}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll" ["Ontrack Data International"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] Fix-It Menu\(Default) = "{A50302A0-8E15-11d2-887B-006008C1C087}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Ontrack\SystemSuite\mxctxmnu.dll" ["Ontrack Data International"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "NoBandCustomize"=dword:00000001 [disables toolbar status changes in Internet Explorer|View|Toolbars] {User Configuration|Administrative Templates|Windows Components| Internet Explorer|Toolbars|Disable customizing browser toolbars} Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "Guido" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "EPSON Status Monitor 3 Environment Check" -> shortcut to: "C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe" ["SEIKO EPSON CORPORATION"] "Tevion Scanner Finder" -> shortcut to: "C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe" [empty string] "ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."] Enabled Scheduled Tasks: ------------------------ "Backup Batch" -> launches: "C:\Programme\aaa Autobackup Batch\copy.bat" [null data] "sicherung NEU" -> launches: "C:\WINNT\system32\NTBACKUP.EXE backup "@C:\Dokumente und Einstellungen\Guido.WORKSTATION3\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows NT\NTBackup\data\sicherung NEU.bks" /n "Medium am 26.05.2005 um 16:40 erstellt" /d "Satz am 26.05.2005 um 16:41 erstellt" /v:no /r:no /rs:no /hc:off /m normal /j "sicherung NEU" /l:s /f "Z:\Workstation3.bkf"" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\msafd.dll [MS], 01 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 14 - 15 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = "Adobe PDF" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {182EC0BE-5110-49C8-A062-BEB1D02A220B}\ = "Adobe PDF" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] Dormant Explorer Bars in "View, Explorer Bar" menu HKLM\Software\Classes\CLSID\{1604DF85-4479-D86D-2AB8-18BA76493190}\ = "Adobe PDF" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data] HOSTS file ---------- C:\WINNT\System32\drivers\etc\HOSTS maps: 1 domain name to an IP address, 1 of the IP addresses is *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]} EpsonNet WebManager Notification Service, EMWebMgr_NtfSvc, ""C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMONMGR.exe"" [null data] HP Web JetAdmin, HPWebJetAdmin, ""C:\Programme\HP Web JetAdmin\hpwebjetd.exe"" ["Hewlett-Packard"] NVIDIA Display Driver Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"] O&O Defrag, O&O Defrag, "C:\WINNT\system32\oodag.exe" ["O&O Software GmbH"] Ontrack SystemSuite 2000-Task-Manager, mxserver, "C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe" ["Ontrack Data International"] TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 121 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 7 seconds. ---------- (total run time: 145 seconds) Dieser Beitrag wurde am 23.08.2005 um 17:28 Uhr von dekilla editiert.
|
|
|
|
|
|
|
23.08.2005, 17:36
Ehrenmitglied
Beiträge: 29434 |
#20
meiner Meinung nach muesste nun alles sauber sein
 Zum ueberpruefen; C:\WINNT\System32\drivers\etc\HOSTS maps: 1 domain name to an IP address, 1 of the IP addresses is *not* localhost! poste mir mal, was du in der HOSTS-Datei findest. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.08.2005, 17:48
Member
Themenstarter Beiträge: 14 |
#21
Hoffentlich....
Ich fand noch 23.08.2005,16:41:06 [WARNUNG] Ist das Trojanische Pferd TR/Click.526! C:\WINNT\SYSTEM32\RDSNDIN.EXE hab ich ge killboxed... Warum konnte ich die Einträge nicht in regedit sehen ? Zum ueberpruefen; C:\WINNT\System32\drivers\etc\HOSTS Inhalt: localhost 127.0.0.1 ... unspektakulär  muss mich noch was beunruigen ??? |
|
|
|
|
|
|
23.08.2005, 23:47
Ehrenmitglied
Beiträge: 29434 |
#22
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.08.2005, 08:39
Member
Themenstarter Beiträge: 14 |
#23
info.txt:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=hex:95,00,00,00 "CDRAutoRun"=dword:00000000 "NoSaveSettings"=hex:00,00,00,00 "NoDrives"=hex:00,00,00,00 "NoCDBurning"=dword:00000000 "NoBandCustomize"=dword:00000001 "ClearRecentDocsOnExit"=dword:00000000 Ich lass noch escann laufen... Poste gleich... NA PRIMA !! habe noch: Wed Aug 24 08:22:13 2005 => Datei C:\WINNT\system32\csyzs.exe infiziert von "Trojan-Dropper.Win32.Vidro.u" Virus. Aktion vorgenommen: Keine Aktion vorgenommen gekillboxed... Neustart nochmal escann laufen lassen keine Virus aber folgenden Fehler... Wed Aug 24 08:59:51 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Wed Aug 24 08:59:56 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object Hört das nicht mehr auf ? nochmal... nachdem ja jetzt Files aufgetaucht sind, die vorher nicht in meinem Syste32 Verzeichnis zu sehen waren hab ich da mal nach Datum sortieren lassen und noch folgende Datei gefunfen: loadctr32.exe 18.08.05 13:20 gleiches Datum und Uhrzeit wie csyzs.exe sollte das noch damit zusammenhängen ? Dieser Beitrag wurde am 24.08.2005 um 09:08 Uhr von dekilla editiert.
|
|
|
|
|
|
|
24.08.2005, 12:12
Ehrenmitglied
Beiträge: 29434 |
#24
Start -->Ausfuehren --> regedit
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoBandCustomize"=dword:00000001 -->aendern in 0 PC neustarten spyware/wareout loeschen: C:\WINDOWS\SYSTEM32\loadctr32.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.08.2005, 14:14
Member
Themenstarter Beiträge: 14 |
#25
hab ich auch noch gemacht...
Ich glaube er ist wieder sauber! Neustart ab Login Screen geht viel schneller ! (runterfahren dauert dafür relativ lange...) Besten Dank! Das Hätte ich so niemals hinbekommen! |
|
|
|
|
|
|
24.08.2005, 14:23
Ehrenmitglied
Beiträge: 29434 |
#26
TuneUp2004 --> es gibt schon 2006
(30 Tage free)http://virus-protect.org/reinigungstoolsregistry.html Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner Alles Gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.08.2005, 15:19
Member
Themenstarter Beiträge: 14 |
#27
... werd ich mal probieren...
Wobei ich es momentan lieber lasse ! Dazu hab ich erstmal keinen Nerv mehr! Tausend Dank nochmal! Warst echt super! Macht Ihr das aus Berufung - Tag und Nacht ? Und dann immer wieder die gleichen Heinies, wie ich, die sich nen Müll eingefangen haben! - R E S P E K T ! - |
|
|
|
|
|
|
26.04.2006, 00:03
...neu hier
Beiträge: 1 |
#28
Zitat Managor posteteHallo Team ich bin heute zufällig im Rahmen einer Problemlösungssuche auf dieses Posting gestossen und habe die freie Version von Kaperski's eScan heruntergeladen und einen Scan ausgeführt. Es wurden 2 Fälle von Malware gemeldet und natürlich (Testversion!) weder identifiziert noch behandelt. Das wäre das Eine. Das Andere ist allerdings bedenklicher! Ich habe nämlich jetzt und erstmals genau einen in diesem Posting beschriebenen Effekt, Meldung in weisser Farbe auf blauem Bildschirm, dass mein Computer nicht sicher wäre. Das könnte derzeit der Fall sein, da ich wegen eines homenet mit filesharing über NETBEUI offene UDP-Ports habe. Mich erschreckt aber die unglaubliche Koinzidenz der Ereignisse. Könnte es sein, dass a) die Testversion eScan selbst den Bedarf nach der Kaufversion erzeugt b) oder der Virus von Eurem Forum indirekt und unbeabsichtigt durch Verweise auf URL's transportiert wird? Da ich (nomen est omen) den tiefschürfenden Erörterungen und Diskussionen mit meinen 73 Jahren nicht zu folgen vermag, werde ich mich damit anfreunden müssen, die Systeme und das Heimnetz neu aufzusetzen (:-() mfg Grufti __________ Ceterum censeo REDMOND esse delendam! |
|
|
|
|
|
|
26.04.2006, 01:48
Ehrenmitglied
Beiträge: 29434 |
#29
Grufti
Zitat Meldung in weisser Farbe auf blauem Bildschirm, dass mein Computer nicht sicher wäre.der PC ist verseucht, die Meldung kommt nicht vom escan Wenn du neu aufsetzt...o.k. wenn du reinigen willst, so sage Bescheid __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
"EMmonitor" = "C:\Programme\EpsonNet\EpsonNet WebManager\bin\EMMONITOR.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
Zitat
dann fuehre bitte die reg-Datei aus+
Silentrunner (noch einmal)
__________
MfG Sabina
rund um die PC-Sicherheit