Problem mit Trojan.win32.Qhost und trojan.win32.DNSChanger |
||
---|---|---|
#0
| ||
05.09.2005, 18:38
...neu hier
Beiträge: 8 |
||
|
||
06.09.2005, 11:18
Member
Beiträge: 279 |
#2
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: (no name) - {F306306F-A586-499A-9875-EE02B85821AB} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{7A19AC0A-B5CF-46D4-BA21-B54A04C467AB}: NameServer = 195.95.218.18,85.255.112.11 O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing) PC neustarten bin gerade über folgendes gestolpert: C:\Programme\wincmd\WINCMD32.EXE <-- bekanntes Programm? Code % Information related to '85.255.112.0 - 85.255.127.255'Again sorry, hätte wohl besser Heute Morgen posten sollen. @raman - danke für den Hinweis MfG, __________ Yourhighness Yourhighness' Seite / Mein Blog (Englisch) |
|
|
||
06.09.2005, 11:47
Ehrenmitglied
Beiträge: 29434 |
#3
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 16:03
...neu hier
Themenstarter Beiträge: 8 |
#4
Hallo,
Wincmd32.exe ist der Windowscommander , früher hieß sowas norton commander und ist ein kleines Prog wie der Windowsexplorer um Dateien hin und her zu kopieren, server connecten usw. also keine Gefahr. also ich fang mit find_qologic an: Find Qoologic last edited 8/30/2005 PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. some examples are MRT.EXE NTDLL.DLL. »»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» If this string search find's both and an exe and dat it's bad. »»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»» (fstarts by IMM - test ver. 0.001) NOT using address check -- 0x7c91df5e Global Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart . .. desktop.ini User Startup: C:\Dokumente und Einstellungen\Dob187\Startmenü\Programme\Autostart . .. desktop.ini »»»»» Search by size and name... »»»»» Files found by this method are not necessarily bad... »»»»» Example PNGFILT.DLL ctl3d32.dll are windows files... nund die Datfind.bat: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 74FC-87E0 Verzeichnis von C:\WINDOWS\system32 06.09.2005 15:21 31.756 vsconfig.xml 05.09.2005 17:38 45.568 ntfsnlpa.exe 05.09.2005 17:38 4.608 rdsndin.exe 04.09.2005 10:36 2.550 Uninstall.ico 04.09.2005 10:36 1.406 Help.ico 04.09.2005 10:36 1.718 Open.ico 04.09.2005 10:36 1.406 AddQuit.ico 04.09.2005 10:36 5.350 IE.ico 04.09.2005 10:36 9.470 Desktop.ico 04.09.2005 10:36 1.718 Quick.ico 31.08.2005 21:12 4.212 zllictbl.dat 31.08.2005 15:53 2.206 wpa.dbl 27.08.2005 21:24 22 ati64hl2.stb 27.08.2005 18:40 48.156 perfc007.dat 27.08.2005 18:40 311.604 perfh009.dat 27.08.2005 18:40 316.594 perfh007.dat 27.08.2005 18:40 39.992 perfc009.dat 27.08.2005 18:40 723.744 PerfStringBackup.INI 27.08.2005 18:37 91.888 FNTCACHE.DAT 26.08.2005 22:50 100 LuResult.txt 26.08.2005 20:55 26.337.792 crashlog.tar 26.08.2005 17:02 643.471 loadctr32.exe 26.08.2005 17:02 5.120 trapi12.exe 26.08.2005 17:02 54.792 csbnn.exe 05.09.2005 21:06 16.384 ~DFF6A3.tmp 05.09.2005 20:50 16.384 ~DF980F.tmp 05.09.2005 20:20 16.384 ~DF3740.tmp 05.09.2005 20:16 16.384 ~DF710D.tmp 05.09.2005 18:27 64 kb.log 05.09.2005 17:53 16.384 ~DF5D5E.tmp 04.09.2005 16:54 16.384 ~DF3ECC.tmp 04.09.2005 11:13 16.384 ~DF48BD.tmp 06.09.2005 15:22 1.506 WINCMD.INI 06.09.2005 15:21 0 0.log 06.09.2005 15:21 2.048 bootstat.dat 05.09.2005 22:34 155.231 WindowsUpdate.log 05.09.2005 21:03 286 wcx_ftp.ini 05.09.2005 20:41 746.694 ntbtlog.txt 05.09.2005 17:38 6.400 balloon.wav 04.09.2005 10:42 650.767 setupapi.log 04.09.2005 10:38 578 win.ini 04.09.2005 10:26 394.718 iis6.log 04.09.2005 10:26 15.056 tabletoc.log 04.09.2005 10:26 149.886 tsoc.log 04.09.2005 10:26 67.818 ntdtcsetup.log 04.09.2005 10:26 112.631 comsetup.log 04.09.2005 10:26 1.891 imsins.log 04.09.2005 10:26 17.467 ocmsn.log 04.09.2005 10:26 52.801 netfxocm.log 04.09.2005 10:26 164.243 ocgen.log 04.09.2005 10:26 23.122 medctroc.Log 04.09.2005 10:26 15.812 msgsocm.log 04.09.2005 10:26 307.601 FaxSetup.log 04.09.2005 10:26 106.744 msmqinst.log 02.09.2005 23:15 32.498 SchedLgU.Txt 27.08.2005 18:35 6.220 updspapi.log 26.08.2005 22:51 50.837 SYMEVENT.LOG 26.08.2005 20:54 281 system.ini 26.08.2005 17:14 4.456 rdt.ini 23.08.2005 19:57 169.315 setupact.log 06.09.2005 15:39 0 sys.txt 06.09.2005 15:39 4.818 system.txt 06.09.2005 15:39 624 systemtemp.txt 06.09.2005 15:38 96.629 system32.txt 06.09.2005 15:21 805.306.368 pagefile.sys FindT: PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. rkfiles.bat: c:\ PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\avisynth.dll: UPX! C:\WINDOWS\system32\ntfsnlpa.exe: UPX! C:\WINDOWS\system32\rdsndin.exe: UPX! C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf# C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\avisynth.dll: UPX! C:\WINDOWS\system32\ntfsnlpa.exe: UPX! C:\WINDOWS\system32\rdsndin.exe: UPX! C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf# Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\daemon.dll: UPX! C:\WINDOWS\MEMORY.DMP: UPX!- C:\WINDOWS\MEMORY.DMP: efsg!>!#ztuf# C:\WINDOWS\MEMORY.DMP: FSG!- Finished bye Greetz, Dob187 Dieser Beitrag wurde am 06.09.2005 um 16:13 Uhr von Dob187 editiert.
|
|
|
||
07.09.2005, 01:16
Ehrenmitglied
Beiträge: 29434 |
#5
Start-->Ausfuehren --> regedit
bearbeiten--> suchen--> msftcpip tcpGDC HKLM\SYSTEM\CurrentControlSet\Services\msftcpip <--loeschen HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tcpGDC <--loeschen •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html Gehe in die Registry •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\ntfsnlpa.exe C:\WINDOWS\system32\rdsndin.exe C:\WINDOWS\system32\hclean32.exe C:\WINDOWS\SYSTEM32\tcpGDC.dll C:\WINDOWS\SYSTEM32\msftcpip.sys C:\WINDOWS\balloon.wav C:\WINDOWS\rdt.ini C:\WINDOWS\system32\loadctr32.exe C:\WINDOWS\system32\trapi12.exe C:\WINDOWS\system32\csbnn.exe PC neustarten #oeffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < loesche alles , lasse nur stehen: (dann abspeichern) 127.1.1.0 localhost smitRem TOOL (Entfernungstool)--> poste mir den Scanreport http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {F306306F-A586-499A-9875-EE02B85821AB} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{7A19AC0A-B5CF-46D4-BA21-B54A04C467AB}: NameServer = 195.95.218.18,85.255.112.11 O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing) PC neustarten #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 16:02
...neu hier
Themenstarter Beiträge: 8 |
#6
Werde mich gleich dran machen. Vielen Dank. Ich krieg gleich noch ein ganz schlechtes Gewissen, wenn ich 01:16 Uhr an deiner Antwort seh und dran denk, dass du dir meinetwegen auch noch die Nacht um die Ohren schlägst...
|
|
|
||
07.09.2005, 18:59
Ehrenmitglied
Beiträge: 29434 |
#7
wenn das alles fertig ist, poste, worum ich gebeten habe
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 19:45
...neu hier
Themenstarter Beiträge: 8 |
#8
Hallo,
hab alles so gemacht wie gesagt: - msftcpip und tcpGDC ist beides als solches nicht vorhanden. smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! - mit killbox alles entfernt - Internet explorer zurückgesetzt, startseite geht nicht zu ändern, bleibt bei about:blank Gruß, Dob187 |
|
|
||
07.09.2005, 22:36
Ehrenmitglied
Beiträge: 29434 |
#9
bitte abarbeiten: (noch einmal)
rkfiles.zip gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt datfind bis Anfang August bitte alles posten http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 23:22
...neu hier
Themenstarter Beiträge: 8 |
#10
07.09.2005 19:44 31.756 vsconfig.xml
07.09.2005 19:36 2.206 wpa.dbl 04.09.2005 10:36 2.550 Uninstall.ico 04.09.2005 10:36 1.406 Help.ico 04.09.2005 10:36 1.718 Open.ico 04.09.2005 10:36 1.406 AddQuit.ico 04.09.2005 10:36 5.350 IE.ico 04.09.2005 10:36 9.470 Desktop.ico 04.09.2005 10:36 1.718 Quick.ico 31.08.2005 21:12 4.212 zllictbl.dat 27.08.2005 21:24 22 ati64hl2.stb 27.08.2005 18:40 311.604 perfh009.dat 27.08.2005 18:40 48.156 perfc007.dat 27.08.2005 18:40 39.992 perfc009.dat 27.08.2005 18:40 316.594 perfh007.dat 27.08.2005 18:40 723.744 PerfStringBackup.INI 27.08.2005 18:37 91.888 FNTCACHE.DAT 26.08.2005 22:50 100 LuResult.txt 26.08.2005 20:55 26.337.792 crashlog.tar 12.08.2005 21:46 43.520 CmdLineExt03.dll 30.07.2005 22:06 98.304 CmdLineExt.dll 29.07.2005 21:07 73.728 asuninst.exe 07.09.2005 19:52 65.536 ~DFA4B0.tmp 1 Datei(en) 65.536 Bytes 07.09.2005 19:51 1.580 WINCMD.INI 07.09.2005 19:43 0 0.log 07.09.2005 19:43 2.048 bootstat.dat 07.09.2005 19:42 157.723 WindowsUpdate.log 07.09.2005 19:40 169.495 setupact.log 06.09.2005 15:45 851.138 ntbtlog.txt 05.09.2005 21:03 286 wcx_ftp.ini 04.09.2005 10:42 650.767 setupapi.log 04.09.2005 10:38 578 win.ini 04.09.2005 10:26 394.718 iis6.log 04.09.2005 10:26 1.891 imsins.log 04.09.2005 10:26 17.467 ocmsn.log 04.09.2005 10:26 112.631 comsetup.log 04.09.2005 10:26 15.056 tabletoc.log 04.09.2005 10:26 149.886 tsoc.log 04.09.2005 10:26 67.818 ntdtcsetup.log 04.09.2005 10:26 52.801 netfxocm.log 04.09.2005 10:26 164.243 ocgen.log 04.09.2005 10:26 23.122 medctroc.Log 04.09.2005 10:26 15.812 msgsocm.log 04.09.2005 10:26 307.601 FaxSetup.log 04.09.2005 10:26 106.744 msmqinst.log 02.09.2005 23:15 32.498 SchedLgU.Txt 27.08.2005 18:35 6.220 updspapi.log 26.08.2005 22:51 50.837 SYMEVENT.LOG 26.08.2005 20:54 281 system.ini 11.08.2005 18:05 24.693 wmsetup.log 11.08.2005 18:05 316.640 WMSysPr9.prx 01.08.2005 22:31 1.510 OEWABLog.txt 30.07.2005 22:06 794 DirectX.log 07.09.2005 23:04 0 sys.txt 07.09.2005 23:04 4.724 system.txt 07.09.2005 23:04 286 systemtemp.txt 07.09.2005 23:03 96.383 system32.txt 07.09.2005 19:39 675 smitfiles.txt 06.09.2005 16:00 1.124 log.txt 06.09.2005 16:00 127 windows.txt 06.09.2005 15:58 384 win.txt 06.09.2005 15:58 168 start.txt 06.07.2005 20:11 794.379 DSCN0889.JPG c:\ PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\avisynth.dll: UPX! C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf# C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\avisynth.dll: UPX! C:\WINDOWS\system32\crashlog.tar: efsg!>!#ztuf# Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\daemon.dll: UPX! C:\WINDOWS\MEMORY.DMP: UPX!- C:\WINDOWS\MEMORY.DMP: efsg!>!#ztuf# C:\WINDOWS\MEMORY.DMP: FSG!- Finished bye Dob |
|
|
||
07.09.2005, 23:35
Ehrenmitglied
Beiträge: 29434 |
#11
silentrunner (bitte alles posten
http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 23:39
...neu hier
Themenstarter Beiträge: 8 |
#12
* DLLCompare Log version()
Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\msexcl35.dll Thu 9 Sep 1999 22:06:38 A.S.. 252.688 246,77 K C:\WINDOWS\SYSTEM32\msjet35.dll Tue 28 Sep 1999 21:42:48 A.S.. 1.050.896 1,00 M C:\WINDOWS\SYSTEM32\msjint35.dll Thu 10 Jun 1999 9:34:04 A.S.. 123.664 120,77 K C:\WINDOWS\SYSTEM32\msjter35.dll Thu 10 Jun 1999 9:34:04 A.S.. 24.848 24,27 K C:\WINDOWS\SYSTEM32\msltus35.dll Thu 9 Sep 1999 22:06:38 A.S.. 168.720 164,77 K C:\WINDOWS\SYSTEM32\mspdox35.dll Mon 7 Jun 1999 18:59:34 A.S.. 250.128 244,27 K C:\WINDOWS\SYSTEM32\msrd2x35.dll Sun 25 Apr 1999 17:00:00 A.S.. 252.176 246,27 K C:\WINDOWS\SYSTEM32\msrepl35.dll Wed 25 Aug 1999 14:57:26 A.S.. 415.504 405,77 K C:\WINDOWS\SYSTEM32\mstext35.dll Thu 30 Sep 1999 19:21:24 A.S.. 166.672 162,77 K C:\WINDOWS\SYSTEM32\msxbse35.dll Sun 25 Apr 1999 17:00:00 A.S.. 287.504 280,77 K C:\WINDOWS\SYSTEM32\vbar332.dll Sun 25 Apr 1999 17:00:00 A.S.. 368.912 360,27 K ________________________________________________ 1.239 items found: 1.239 files (11 H/S), 0 directories. Total of file sizes: 251.029.904 bytes 239,40 M Administrator Account = True --------------------End log--------------------- "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" ["Lavasoft Sweden"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"] "KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize" ["Kaspersky Lab"] "Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csxdn.exe" [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Dob187\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"" ["Kaspersky Lab"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 30 seconds, including 18 seconds for message boxes) Gn8, Dob Dieser Beitrag wurde am 07.09.2005 um 23:41 Uhr von Dob187 editiert.
|
|
|
||
07.09.2005, 23:41
Ehrenmitglied
Beiträge: 29434 |
#13
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixre.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"=- "System"="" kopiere in die Killbox: C:\WINDOWS\system32\csxdn.exe Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixre.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten panda (berichte vom scan) http://virus-protect.org/onlinescan.html __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.09.2005, 04:57
...neu hier
Themenstarter Beiträge: 8 |
#14
SRY hatte zuerst das DLLCompare vergessen ^^
Hab alles so gemacht. Panda brachte: Common name: Gator Technical name: Adware/Gator Thread level: Low Alias: GAIN, Claria, Dashbar, PrecisionTime, Date Manager Type: Spyware Subtype: Adware Effects: It downloads and displays advertisements. It connects to web pages that contain the phrase gator.com through the port 80. Affected platforms: Windows 2003/XP/2000/NT/ME/98/95 First detected on: Sept. 11, 2003 Detection updated on: Nov. 9, 2004 In circulation? No Proactive protection: Yes, using TruPrevent Technologies Startseite geht immer noch net zu ändern Dob187 |
|
|
||
08.09.2005, 14:48
Ehrenmitglied
Beiträge: 29434 |
#15
•Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html Laden-->Konfigurieren waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! poste noch mal das Log vom Silentrunner, bitte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
habe seit einer Woche ein ständig auftretendes Problem mit dem Troj Win32.Qhost, weil ich einmal beim surfen die FW aus hatte. Seit dem ist alles mögliche abgestürzt und ständig auftretende Probleme mit den bekannten meldungen und warnungen. Vorher hatte ich die Kerio FW 4.13 drauf und Norrton AntiVirus, welches danach beides nicht mehr seinen Dienst verrichten wollte und nun Kaspersky AntiVir und ZoneAlarm neueste FW. macht alles auch so ganz gut ihren Dienst, aber der Trojaner bleibt, bzw. kommt ab und an wieder auf. (hclean32.exe)
Hatte die Datei mit killbox gelöscht in dert hoffnung das wars, da keine einträge unter HKLM\...\...\Run waren und nun hatte ich die FW wieder mal kurz aus und bums, gleiche ScheiBe wieder. War allerdings nich auf ner dubiosen Seite wo ich ihn mir wieder hätte einfangen können. Hab mal mit hijackthis 'n Log erstellt.
Logfile of HijackThis v1.99.1
Scan saved at 18:30:28, on 05.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\wincmd\WINCMD32.EXE
c:\Tools\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {F306306F-A586-499A-9875-EE02B85821AB} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125158506593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A19AC0A-B5CF-46D4-BA21-B54A04C467AB}: NameServer = 195.95.218.18,85.255.112.11
O20 - Winlogon Notify: tcpGDC - tcpGDC.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Bitte um Hilfe, ich dreh sonst noch durch....