Spyware eingefangen?? "Your system is infectedt!" |
||
---|---|---|
#0
| ||
06.09.2005, 08:50
...neu hier
Beiträge: 5 |
||
|
||
06.09.2005, 11:21
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@PC-Werner
arbeite bitte beide Links ab.. http://virus-protect.org/findqoologic.html http://virus-protect.org/datfindbat.html Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt FindT http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 14:26
...neu hier
Themenstarter Beiträge: 5 |
#3
Hier die erste Textdatei
ind Qoologic last edited 8/30/2005 PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. some examples are MRT.EXE NTDLL.DLL. »»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» If this string search find's both and an exe and dat it's bad. »»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» * UPX! C:\WINDOWS\DAEMON.DLL »»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»» (fstarts by IMM - test ver. 0.001) NOT using address check -- 0x77f65fae Global Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart . .. desktop.ini User Startup: C:\Dokumente und Einstellungen\Torsten Altmann\Startmenü\Programme\Autostart . .. desktop.ini »»»»» Search by size and name... »»»»» Files found by this method are not necessarily bad... »»»»» Example PNGFILT.DLL ctl3d32.dll are windows files... C:\WINDOWS\SYSTEM32\MSNETH~1.DLL mit Killbox konnte ich nur daemon.dll löschen. Brauche ich auch die beiden Vierenscanner Escan u. Ewido??? nächste Textdatei: ind Qoologic last edited 8/30/2005 PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. some examples are MRT.EXE NTDLL.DLL. »»»»»»»»»»»»»»»»»»»»»»»» Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» If this string search find's both and an exe and dat it's bad. »»»»»»»»»»»»»»»»»»»»»»»» Packed files »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» startup files»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Checking Global Startup »»»»»»»»»»»»»»»»»»»»»» (fstarts by IMM - test ver. 0.001) NOT using address check -- 0x77f65fae Global Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart . .. desktop.ini User Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart . .. desktop.ini »»»»» Search by size and name... »»»»» Files found by this method are not necessarily bad... »»»»» Example PNGFILT.DLL ctl3d32.dll are windows files... C:\WINDOWS\SYSTEM32\MSNETH~1.DLL und nun??? hier nun die Daten von datfind.bat Verzeichnis von C:\WINDOWS\system32 06.09.2005 08:26 37.888 setupnt.dll 06.09.2005 08:26 102.400 snapapi.dll 05.09.2005 18:40 270.336 imon.dll 05.09.2005 18:35 12 mapisvc.inf 05.09.2005 13:45 2.206 wpa.dbl 30.08.2005 11:34 3.219 PQ_DEBUG.TXT 30.08.2005 09:53 56 zhfsduiu.ghj 04.08.2005 11:05 146.808 FNTCACHE.DAT 28.07.2005 19:58 10.240 msnethlp32.dll 28.07.2005 19:28 2 wcpit.exe 28.07.2005 19:25 3.388 ztoolbar.bmp 28.07.2005 19:25 7.823 ztoolbar.xml 28.07.2005 19:24 46.592 zlbw.dll 28.07.2005 19:24 8 zksdfnsuidfsdiu.jhk 28.07.2005 19:24 64 abirvalg.dll 28.07.2005 19:24 1.632 vxgamet1.exe 28.07.2005 19:24 1 vx.tll 13.07.2005 17:03 1.162 qtplugin.log 13.05.2005 20:07 36.864 Shex.exe 08.05.2005 18:22 43.520 CmdLineExt03.dll 30.03.2005 21:09 40.190 perfc009.dat 30.03.2005 21:09 316.838 perfh007.dat 30.03.2005 21:09 311.802 perfh009.dat 30.03.2005 21:09 48.354 perfc007.dat 30.03.2005 21:09 723.744 PerfStringBackup.INI 23.03.2005 20:13 88.576 mqsec.dll 23.03.2005 20:13 130.048 mqad.dll 23.03.2005 20:13 14.848 mqise.dll 23.03.2005 20:13 44.032 mqdscli.dll 23.03.2005 20:13 608.768 mqqm.dll 23.03.2005 20:13 165.888 mqrt.dll 23.03.2005 20:13 44.544 mqupgrd.dll 23.03.2005 20:13 529.408 mqutil.dll 21.03.2005 15:00 884.736 msimsg.dll 21.03.2005 15:00 15.360 msisip.dll 21.03.2005 15:00 271.360 msihnd.dll 21.03.2005 15:00 78.848 msiexec.exe 21.03.2005 15:00 2.890.240 msi.dll 21.03.2005 15:00 15.072 spmsg.dll 12.03.2005 03:51 8.389.632 shell32.dll 12.03.2005 00:07 611.840 xpsp2res.dll 07.03.2005 11:52 79.432 GEARAspi.dll 06.03.2005 12:20 3.120 HSeNJ.ocx 06.03.2005 09:58 4.212 zllictbl.dat 06.03.2005 09:42 280 sunistlog.ini 06.03.2005 09:42 1.385 schecklog.txt 06.03.2005 09:42 998 2_ssetup.ini 06.03.2005 09:42 927 1_ssetup.ini 05.03.2005 17:46 25.065 wmpscheme.xml 05.03.2005 17:43 261 $winnt$.inf 05.03.2005 17:40 2.951 CONFIG.NT 05.03.2005 17:40 16.832 amcompat.tlb 05.03.2005 17:40 23.392 nscompat.tlb 05.03.2005 17:38 488 logonui.exe.manifest 05.03.2005 17:38 488 WindowsLogon.manifest Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 30.08.2005 14:16 16.384 ~DFF998.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 20.950.958.080 Bytes frei Verzeichnis von C:\WINDOWS 06.09.2005 14:37 569.278 ntbtlog.txt 06.09.2005 14:19 2.048 bootstat.dat 06.09.2005 14:17 355.114 WindowsUpdate.log 06.09.2005 14:17 32.568 SchedLgU.Txt 06.09.2005 08:45 0 0.log 06.09.2005 08:26 753.223 setupapi.log 05.09.2005 20:37 187.546 setupact.log 05.09.2005 18:23 563 nsw.log 05.09.2005 14:38 167.727 iis6.log 05.09.2005 14:38 30.875 ntdtcsetup.log 05.09.2005 14:38 53.167 comsetup.log 05.09.2005 14:38 62.792 tsoc.log 05.09.2005 14:38 6.913 tabletoc.log 05.09.2005 14:38 1.891 imsins.log 05.09.2005 14:38 22.480 netfxocm.log 05.09.2005 14:38 6.516 msgsocm.log 05.09.2005 14:38 74.028 ocgen.log 05.09.2005 14:38 5.008 ocmsn.log 05.09.2005 14:38 123.400 FaxSetup.log 05.09.2005 14:38 43.832 msmqinst.log 05.09.2005 14:38 1.494 WINNT32.LOG 05.09.2005 14:38 547 UPGRADE.TXT 05.09.2005 14:37 403 DHCPUPG.LOG 30.08.2005 14:15 1.056 win.ini 30.08.2005 14:15 227 system.ini 03.08.2005 21:51 137 uno.ini 01.08.2005 17:45 116 NeroDigital.ini 28.07.2005 19:53 1.024 ms4.exe 28.07.2005 19:53 24.576 ms3.exe 28.07.2005 19:52 16 System32mscore.bin 28.07.2005 19:51 0 uniq 28.07.2005 19:25 309.190 blank.mht 28.07.2005 19:24 896 zsettings.dll 28.07.2005 19:24 31 netdx.dat 28.07.2005 19:24 2 flag.bla 28.07.2005 19:24 5.466 ModemLog_Kommunikationskabel zwischen zwei Computern.txt 28.07.2005 19:24 1.999 desktop.html 24.07.2005 21:29 2.040 ModemLog_Lucent Technologies Soft Modem AMR.txt 13.07.2005 17:04 87 GEARInstall.log 02.07.2005 21:56 154.000 DirectX.log 02.07.2005 00:35 2.560 _MSRSTRT.EXE 14.05.2005 11:02 50 wiaservc.log 14.05.2005 11:02 216 wiadebug.log 24.04.2005 15:24 1.374 imsins.BAK 24.04.2005 15:24 36.711 KB885835.log 24.04.2005 15:23 28.939 KB893803.log 24.04.2005 15:21 35.815 KB890859.log 24.04.2005 15:20 5.772 updspapi.log 24.04.2005 15:20 23.934 KB890923-IE6SP1-20050225.103456.log 24.04.2005 15:19 27.925 KB893066.log 24.04.2005 15:18 25.818 KB892944.log 24.04.2005 15:17 28.019 KB893086.log Verzeichnis von C:\ 06.09.2005 14:37 0 sys.txt 06.09.2005 14:37 6.852 system.txt 06.09.2005 14:36 295 systemtemp.txt 06.09.2005 14:35 93.984 system32.txt 06.09.2005 14:19 402.653.184 pagefile.sys 06.09.2005 10:19 0 23990098.$$$ 06.09.2005 10:19 5 AVPCallback.log 30.08.2005 14:15 194 boot.ini 28.07.2005 19:24 26.775 kasperskyantiviruspersonalv5.0.227keyfile.zip 05.03.2005 17:40 0 AUTOEXEC.BAT 05.03.2005 17:40 0 MSDOS.SYS 05.03.2005 17:40 0 CONFIG.SYS 05.03.2005 17:40 0 IO.SYS 29.08.2002 02:05 235.296 ntldr 28.08.2002 22:08 47.580 NTDETECT.COM 18.08.2001 14:00 4.952 bootfont.bin 16 Datei(en) 403.069.117 Bytes 0 Verzeichnis(se), 20.950.945.792 Bytes frei hier nun die log.txt F:\Hijachthis PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\vxgamet1.exe: FSG! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\vxgamet1.exe: FSG! Files Found in all users windows Folder............ ------------------------ Finished bye file.txt PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Dieser Beitrag wurde am 06.09.2005 um 15:43 Uhr von PC-Werner editiert.
|
|
|
||
06.09.2005, 15:47
Ehrenmitglied
Beiträge: 29434 |
#4
Zitat mit Killbox konnte ich nur daemon.dll löschen. Brauche ich auch die beiden Vierenscanner Escan u. Ewido???wer hat gesagt, dass du die dll loeschen sollst? Das ist meiner Meinung nach keine Malware.... #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\kasperskyantiviruspersonalv5.0.227keyfile.zip C:\WINDOWS\system32\msnethlp32.dll C:\WINDOWS\system32\wcpit.exe C:\WINDOWS\system32\zhfsduiu.ghj C:\WINDOWS\system32\ztoolbar.bmp C:\WINDOWS\System32\ztoolb005.dll C:\WINDOWS\system32\ztoolbar.xml C:\WINDOWS\system32\zlbw.dll C:\WINDOWS\system32\zksdfnsuidfsdiu.jhk C:\WINDOWS\system32\abirvalg.dll C:\WINDOWS\system32\vxgamet1.exe C:\WINDOWS\system32\vx.tll C:\WINDOWS\system32\Shex.exe C:\WINDOWS\ms4.exe C:\WINDOWS\ms3.exe C:\WINDOWS\System32\mscore.bin C:\WINDOWS\uniq C:\WINDOWS\blank.mht C:\WINDOWS\zsettings.dll C:\WINDOWS\svchost.exe C:\WINDOWS\netdx.dat C:\WINDOWS\desktop.html PC neustarten scanne bitte mit diesem Tool und poste mir den Scanreport Entfernungstool: Sunbelt http://research.sunbelt-software.com/ssaclean.cfm scanne mit ewido und poste bitte das Log vom Scan http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 21:25
...neu hier
Themenstarter Beiträge: 5 |
#5
;-))) Anzeige ist weg, aber desktophintergrund läßt sich noch nicht umschalten. Soweit schon mal herzlichen Dank!!! Wie kann ich das gut machen? Aber eben der Desktophintergrund noch...........
Kann das auch sein, dass durch den "Mist" das CD-Rom LAufwerk ausser Gefecht gesetzt wurde??? Erstes Log SSA Keylogger Cleaner Log (c) Sunbelt Software Inc. 2005 www.sunbelt-software.com Scan Running Processes: Scanning For Trojan Files: Searching for SSA files: C: C:\WINDOWS C:\WINDOWS\System C:\WINDOWS\temp Delete file: fe43e701.htm C:\Program Files\Internet Explorer\SHTTP Cleaning HOSTS file: Cleaning Registry. Deleted Reg Key: Software\SARS System Clean The SSA Keylogger was not found on your system. Zweites Log -------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 21:15:41, 06.09.2005 + Report-Checksumme: 35C7FE9F + Scanergebnis: HKLM\SOFTWARE\Classes\ZToolbar.activator -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.activator\CLSID -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.activator\CurVer -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.ParamWr -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CLSID -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CurVer -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.StockBar -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CLSID -> Spyware.Azsearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CurVer -> Spyware.Azsearch : Gesäubert mit Backup C:\Dokumente und Einstellungen\Torsten Altmann\Cookies\torsten altmann@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\Torsten Altmann\Cookies\torsten altmann@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx -> Spyware.MediaTickets : Gesäubert mit Backup ::Report Ende |
|
|
||
07.09.2005, 00:11
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@PC-Werner
suche /loesche: C:\WINDOWS\desktop.html C:\WINDOWS\POPUP.HTML silentrunner. http://virus-protect.org/silentrunner.html PC neustarten Kaspersky + panda (und berichte) http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 08:38
...neu hier
Themenstarter Beiträge: 5 |
#7
Hallo Sabina,
einen Online-scan kann ich leider momentan nicht durchführen, da ich nicht am Netz hänge, aber dafür nutze ich das Antivirenprogramm NOD32. Und das findet nichts mehr. Wie schon gesagt, das desktopbild ist verschwunden, doch leider kann ich den Hintergrund noch nicht ändern! Die beiden Dateien desktop.html und popup.html können nicht gefunden werden, wobei ich gestern ja schon die Desktop.html eliminiert habe. Wie kann ich noch den Desktop wieder "freischalten"??? Hier noch die Log von silentrunner: "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "st" -> {CLSID}\InProcServer32\(Default) = "C:\windows\system32\winacpi.dll" [file not found] "{B089FE88-FB52-11d3-BDF1-0050DA34150D}" = "NOD32 Context Menu Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" ["Eset "] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"] NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11d3-BDF1-0050DA34150D}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" ["Eset "] sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\windows\system32\winacpi.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ewido\security suite\context.dll" ["ewido networks"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11d3-BDF1-0050DA34150D}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" ["Eset "] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html" [disables the Display Properties|Desktop (tab) (except the "Customize Desktop..." button); selects wallpaper if Active Desktop is enabled] {User Configuration|Administrative Templates|Desktop|Active Desktop| Active Desktop Wallpaper|Wallpaper Name:} Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Wallpaper selected via Group Policy. Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: imon.dll ["Eset "], 01 - 05, 23 %SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 22 %SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {9455301C-CF6B-11D3-A266-00C04F689C50}\ = "Encarta &Recherche-Assistent" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "C:\Programme\ewido\security suite\ewidoguard.exe" ["ewido networks"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NOD32 Kernel Service, NOD32krn, ""C:\Programme\Eset\nod32krn.exe"" ["Eset "] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 32 seconds, including 3 seconds for message boxes) |
|
|
||
07.09.2005, 09:40
Ehrenmitglied
Beiträge: 29434 |
#8
Start-->Ausfuehren--> regedit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "Wallpaper" = "C:\WINDOWS\desktop.html" <--loeschen Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken. Zitat REGEDIT4kopiere in die Killbox: C:\WINDOWS\System32\ztoolb005.dll wenn es noch da ist: neustarten #TuneUp2004 (30 Tage free)--> es gibt schon 2006 http://virus-protect.org/reinigungstoolsregistry.html Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2005, 13:17
...neu hier
Themenstarter Beiträge: 5 |
#9
Hallo Sabina,
Herzlichen Dank!!!! Ich denke es hat alles prima funtkioniert!!! Wie kann ich es wieder gut machen??????????????? Woher weißt Du das alles??????? Gruß Werner |
|
|
||
12.11.2005, 12:45
...neu hier
Beiträge: 5 |
#10
Hallo, ich habe auch das Problem, als Desktophintergrund eine schwarze Box mit roter Schrift zu besitzen....
Diese besagt (Natürlich alles wieder auf Englisch)...Spyware Infection...mein System ist mit Spyware infiziert, ich sollte aufgrund von Datenverlust und Missbraucht nicht weitermachen ohne ein Programm durchlaufen lassen... Pflichtbewusst wie die ersteller dieses Schriftzuges sind, scheinen sie mir direkt ein solches Programm mit geschickt zuhaben...Spy Agent oder so...diese konnte ich schon über Systemsteuerung "Software" löschen, Anti Vir hatte einen Trojaner gemeldet gehabt...."Datei Überschreiben und löschen" im abgesicherten Modus hate geklappt...nur das Bild ist noch da und irgendwas scheint dort im hintergrund zu arbeiten...hoffe mir kann einer helfen...anbei schicke ich Euch mal mein Hijackthis Log aus dem abgesicherten Modus mit.... Logfile of HijackThis v1.99.1 Scan saved at 12:21:53, on 12.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe O4 - HKCU\..\Run: [Taskbar] C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe Vielen Dank....ein erholsames Wochenende Euch allen.... Dirk |
|
|
||
12.11.2005, 15:25
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@AngelSquall
CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere die 4 Logs hier http://virus-protect.org/datfindbat.html Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread silentrunner. http://virus-protect.org/silentrunner.html --------------------------------------------------------------------- ????????????? ????????????? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2005, 12:00
...neu hier
Beiträge: 2 |
#12
hi
bei mir steht als desktop bild SPYWARE INFECTION...... ich kann auch kein anderes bild auswählen aus hintergrund HIER IS MEIN HIJACK LOG: Logfile of HijackThis v1.99.1 Scan saved at 11:56:30, on 13.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ubi.com\Core\GS4.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\Rar$EX00.452\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchtheworld4you.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Desktop-Changer 1.0] C:\Programme\Desktop-Changer\Desktop-Changer 1.0.exe O4 - HKLM\..\RunServices: [Microsoft Windows Logon Updater] winlogonupdate.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.1.74.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.com/ist/softwares/v4.0/0006_Crac*hier nicht!*.cab O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O21 - SSODL: Cfgbios - {4608730C-C114-4127-87A0-F6C611AAAD7B} - C:\WINDOWS\System32\progsub.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\MARCEL~1\LOKALE~1\TEMP\_VWUPSRV.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe WAS MACHE ICH NUN????? HABE AUCH EIN FOTO VON DIESEM DESKTOP PIC NUR WEISS NICH WIE MAN ES HIER REIN MACHT Dieser Beitrag wurde am 13.11.2005 um 12:12 Uhr von wiesel93 editiert.
|
|
|
||
13.11.2005, 13:01
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo wiesel93
Hilfe kommt sofort, aber erst: CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere die 4 Logs hier http://virus-protect.org/datfindbat.html Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread silentrunner. http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2005, 14:31
...neu hier
Beiträge: 5 |
#14
Hallo Sabina,
also, ich hoffe ich habe alles richtig gemacht...folgend nun die Log´s.... Folgende Logs, habe ich von datfind erhalten... System32.txt, ca. der letzten 3-4Monate: Verzeichnis von C:\WINDOWS\system32 13.11.2005 13:37 21.828 nvapps.xml 12.11.2005 19:40 28.056 BMXCtrlState-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx 12.11.2005 19:40 20.592 BMXState-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx 12.11.2005 19:40 20.592 BMXStateBkp-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx 12.11.2005 19:40 28.056 BMXBkpCtrlState-{00000000-00000000-00000003-00001102-00000004-00531102}.rfx 12.11.2005 19:40 24 DVCStateBkp-{00000000-00000000-00000003-00001102-00000004-00531102}.dat 12.11.2005 19:40 24 DVCState-{00000000-00000000-00000003-00001102-00000004-00531102}.dat 12.11.2005 19:40 1.072 settingsbkup.sfm 12.11.2005 19:40 1.072 settings.sfm 11.11.2005 21:50 0 countrydial.exe 11.11.2005 21:48 5.120 msctr.dll 11.11.2005 21:37 2.206 wpa.dbl 30.10.2005 15:23 40.128 perfc009.dat 30.10.2005 15:23 311.740 perfh009.dat 30.10.2005 15:23 316.924 perfh007.dat 30.10.2005 15:23 48.354 perfc007.dat 30.10.2005 15:23 723.744 PerfStringBackup.INI 18.10.2005 13:14 142.032 FNTCACHE.DAT 20.09.2005 17:28 0 lame_acm.xml 30.08.2005 15:48 3.799 jupdate-1.5.0_04-b05.log 09.08.2005 23:14 692.224 divxdec.ax 09.08.2005 23:13 4.276 divxsm.tlb 09.08.2005 23:13 524.288 DivXsm.exe 09.08.2005 23:13 692.736 DivX.dll 09.08.2005 23:13 688.128 divx_xx07.dll 09.08.2005 23:13 10.775 dsm_ja.qm 09.08.2005 23:13 15.351 dsm_de.qm 09.08.2005 23:13 15.153 dsm_fr.qm 09.08.2005 23:13 688.128 divx_xx0c.dll 09.08.2005 23:13 671.744 divx_xx11.dll 09.08.2005 23:13 831.488 libeay32.dll 09.08.2005 23:13 245.408 unicows.dll 09.08.2005 23:13 159.744 ssleay32.dll 09.08.2005 23:12 3.596.288 qt-dx331.dll 09.08.2005 23:12 8.523 dpude.qm 09.08.2005 23:12 86.016 dpl100.dll 09.08.2005 23:12 581.632 dpuGUI11.dll 09.08.2005 23:12 200.704 dtu100.dll 09.08.2005 23:12 303.104 dpus11.dll 09.08.2005 23:12 57.344 dpv11.dll 09.08.2005 23:12 245.760 dpu11.dll 09.08.2005 23:12 3.136 dtu_de.qm 09.08.2005 23:12 356.436 DivXMedia.ax Systemtemp.txt Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp System.txt Verzeichnis von C:\WINDOWS 13.11.2005 13:37 51 iTouch.ini 13.11.2005 13:37 50 wiaservc.log 13.11.2005 13:37 159 wiadebug.log 13.11.2005 13:37 2.048 bootstat.dat 12.11.2005 19:40 3.778.236 {00000000-00000000-00000003-00001102-00000004-00531102}.CDF 12.11.2005 02:39 615 win.ini 12.11.2005 02:39 227 system.ini 11.11.2005 21:49 1.999 desktop.html 11.11.2005 21:48 28.160 tool2.exe 11.11.2005 21:48 57.711 kl.exe 11.11.2005 21:48 0 uniq 11.11.2005 21:20 69 NeroDigital.ini 18.10.2005 13:01 316.640 WMSysPr9.prx 19.03.2005 17:14 567 eReg.dat 14.03.2005 13:27 810 Rtcw.INI 19.02.2005 12:31 132 SBWIN.INI 18.02.2005 12:36 63 vbaddin.ini 18.02.2005 12:32 400 ODBC.INI 18.02.2005 12:21 495 demo.INI 18.02.2005 10:57 8.192 REGLOCS.OLD 18.02.2005 10:53 0 control.ini 18.02.2005 10:53 299.552 WMSysPrx.prx 18.02.2005 10:53 4.161 ODBCINST.INI 18.02.2005 10:52 749 WindowsShell.Manifest 18.02.2005 10:50 36 vb.ini 18.02.2005 10:39 0 Sti_Trace.log 04.08.2004 00:58 288.768 winhlp32.exe 04.08.2004 00:58 32.866 slrundll.exe 04.08.2004 00:58 153.600 regedit.exe 04.08.2004 00:58 70.144 notepad.exe 04.08.2004 00:57 10.752 hh.exe 04.08.2004 00:57 1.035.264 explorer.exe 04.08.2004 00:57 50.688 twain_32.dll 17.07.2004 11:40 19.528 002254_.tmp 02.10.2001 15:42 61.440 MIDIDEF.EXE 21.09.2001 11:47 16.384 INSTRESGER.DLL 11.09.2001 13:36 77.824 DEVREG.DLL 11.09.2001 13:36 176.128 PSCONV.EXE 11.09.2001 13:36 159.744 READREG.EXE 06.09.2001 18:44 3.778.236 DEVCONDEFAULTDATABASE_AUDIGY.CDF 23.08.2001 13:00 17.362 Rhododendron.bmp 23.08.2001 13:00 65.832 Santa Fe-Stuck.bmp 23.08.2001 13:00 26.582 Granit.bmp 23.08.2001 13:00 9.522 Zapotek.bmp 23.08.2001 13:00 1.085.913 SET3.tmp 23.08.2001 13:00 13.898 SET7.tmp 23.08.2001 13:00 26.680 F„cher.bmp 23.08.2001 13:00 16.730 Feder.bmp 23.08.2001 13:00 80 explorer.scf 23.08.2001 13:00 15.872 TASKMAN.EXE 23.08.2001 13:00 65.954 Pr„riewind.bmp 23.08.2001 13:00 94.800 twain.dll 23.08.2001 13:00 707 _default.pif 23.08.2001 13:00 49.680 twunk_16.exe 23.08.2001 13:00 25.600 twunk_32.exe 23.08.2001 13:00 17.062 Kaffeetasse.bmp 23.08.2001 13:00 17.336 Angler.bmp 23.08.2001 13:00 65.978 Seifenblase.bmp 23.08.2001 13:00 2 desktop.ini 23.08.2001 13:00 18.944 vmmreg32.dll 23.08.2001 13:00 34.818 wmprfDEU.prx 23.08.2001 13:00 48.680 winnt256.bmp 23.08.2001 13:00 48.680 winnt.bmp 23.08.2001 13:00 82.944 clock.avi 23.08.2001 13:00 257.568 winhelp.exe 23.08.2001 13:00 1.272 Blaue Spitzen 16.bmp 23.08.2001 13:00 1.405 msdfmap.ini 11.05.2000 01:00 90.112 Updreg.exe 11.10.1999 03:01 41.984 CTREGRUN.EXE 14.01.1999 14:04 231 ac3api.ini 17.11.1998 13:44 328.704 IsUn0407.exe 29.10.1998 16:45 306.688 IsUninst.exe 02.06.1997 05:06 24.992 Ctres.dll 05.12.1994 03:11 53.552 ctccw.dll 74 Datei(en) 13.388.652 Bytes 0 Verzeichnis(se), 54.875.652.096 Bytes frei Sys.txt Verzeichnis von C:\ 13.11.2005 14:16 0 sys.txt 13.11.2005 14:16 3.920 system.txt 13.11.2005 14:16 136 systemtemp.txt 13.11.2005 14:16 101.771 system32.txt 13.11.2005 13:36 805.306.368 pagefile.sys 12.11.2005 02:39 211 boot.ini 11.11.2005 21:48 28.160 winstall.exe 18.02.2005 12:55 0 itouch_crash_info.txt 18.02.2005 11:29 47.564 NTDETECT.COM 18.02.2005 11:29 251.184 ntldr 18.02.2005 10:53 0 IO.SYS 18.02.2005 10:53 0 CONFIG.SYS 18.02.2005 10:53 0 AUTOEXEC.BAT 18.02.2005 10:53 0 MSDOS.SYS 23.08.2001 13:00 4.952 bootfont.bin 15 Datei(en) 805.744.266 Bytes 0 Verzeichnis(se), 54.875.648.000 Bytes frei blbeta, legte folgendes txt ab...er schien aber auch nichts besonderes gefunden zuhaben.... 11/13/05 14:18:52 [Info]: BlackLight Engine 1.0.25 initialized 11/13/05 14:18:52 [Info]: OS: 5.1 build 2600 (Service Pack 2) 11/13/05 14:18:52 [Note]: 4019 4 11/13/05 14:18:52 [Note]: 4005 0 11/13/05 14:18:56 [Note]: 4006 0 11/13/05 14:18:56 [Note]: 4011 276 11/13/05 14:18:57 [Note]: FSRAW library version 1.7.1013 11/13/05 14:20:18 [Note]: 4007 0 Und zum Schluss "Silent-Runners"... "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "TaskTray" = "C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe" ["Creative Technology Ltd."] "Taskbar" = "C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe" ["Creative Technology Ltd"] "Windows installer" = "C:\winstall.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "zBrowser Launcher" = "C:\Programme\Logitech\iTouch\iTouch.exe" ["Logitech Inc."] "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "UpdReg" = "C:\WINDOWS\Updreg.exe" ["Creative Technology Ltd."] "CTStartup" = "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run" ["Creative Technology Ltd."] "Jet Detection" = "C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [empty string] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "TerraTec Remote Control" = ""C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"" ["TerraTec Electronic GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Visio10\VisShe.dll" [null data] "{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Visio10\VisShe.dll" [null data] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 [enables Active Desktop and prevents disabling it] {User Configuration|Administrative Templates|Desktop|Active Desktop| Enable Active Desktop} HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html" [disables the Display Properties|Desktop (tab) (except the "Customize Desktop..." button); selects wallpaper and enables Active Desktop] {User Configuration|Administrative Templates|Desktop|Active Desktop| Active Desktop Wallpaper|Wallpaper Name:} Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. Wallpaper selected via Group Policy. Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Administrator" & "All Users" startup folders: --------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 35 seconds, including 12 seconds for message boxes) Hoffe, kannst damit was anfangen und mir ist kein Fehler unterlaufen... Schonmal vielen Dank für deine Mühen..... Schönen Sonntag noch..... Dirk |
|
|
||
13.11.2005, 14:44
...neu hier
Beiträge: 2 |
#15
DANKE FÜR DIE SCHNELLE HILFE ICH PROBIER ES MAL AUS
HIER ISt DAS VOn diesem datfind 12.11.2005 11:08 109.400 FNTCACHE.DAT 11.11.2005 21:33 5.120 msctr.dll 10.11.2005 18:32 2.206 wpa.dbl 30.10.2005 07:51 311.604 perfh009.dat 30.10.2005 07:51 39.992 perfc009.dat 30.10.2005 07:51 48.156 perfc007.dat 30.10.2005 07:51 316.594 perfh007.dat 30.10.2005 07:51 723.744 PerfStringBackup.INI 24.10.2005 12:47 51.733 plugin1.dat 23.10.2005 10:12 20.832 So_Okt_23_2005.txt 23.10.2005 08:51 4.240 win32log.dat 22.10.2005 22:06 81.572 Sa_Okt_22_2005.txt 21.10.2005 21:52 100.919 Fr_Okt_21_2005.txt 21.10.2005 17:04 299.008 TCPService2.exe 21.10.2005 17:04 17.408 NTCommLib3.exe 21.10.2005 17:04 163.840 ucsi.exe 20.10.2005 21:09 35.082 Do_Okt_20_2005.txt 19.10.2005 12:56 145 Mi_Okt_19_2005.txt 18.10.2005 19:51 23.049 Di_Okt_18_2005.txt 18.10.2005 19:05 1.919 AUTOEXEC.NT 17.10.2005 19:41 27.338 Mo_Okt_17_2005.txt 16.10.2005 19:34 118.795 So_Okt_16_2005.txt 16.10.2005 16:59 98.304 CmdLineExt.dll 15.10.2005 18:53 43.219 Sa_Okt_15_2005.txt 14.10.2005 21:35 93.548 Fr_Okt_14_2005.txt 13.10.2005 21:05 85.310 Do_Okt_13_2005.txt 13.10.2005 00:11 118.784 sirenacm.dll 12.10.2005 21:40 86.133 Mi_Okt_12_2005.txt 12.10.2005 14:16 159.752 ntdll.exe 11.10.2005 21:25 76.004 Di_Okt_11_2005.txt 11.10.2005 09:40 3.416 5o0i8el9.ini 11.10.2005 09:39 0 0la0as47.html 10.10.2005 21:43 176.455 Mo_Okt_10_2005.txt 09.10.2005 21:37 123.917 So_Okt_09_2005.txt 09.10.2005 08:56 35.448 a8b0muq0.dat 09.10.2005 08:56 191.792 trj1394v.dat 09.10.2005 08:56 4.048 ol2vajf1.dat 01.10.2005 07:57 5.153 Sa_Okt_01_2005.txt 30.09.2005 20:47 53.942 Fr_Sep_30_2005.txt 29.09.2005 20:22 8.521 Do_Sep_29_2005.txt 28.09.2005 19:50 69.854 Mi_Sep_28_2005.txt 27.09.2005 20:22 31.704 Di_Sep_27_2005.txt 26.09.2005 19:08 41.806 Mo_Sep_26_2005.txt 25.09.2005 18:51 128.757 So_Sep_25_2005.txt 25.09.2005 09:38 2.718 jfhugtr2.dat 24.09.2005 21:44 91.045 Sa_Sep_24_2005.txt 23.09.2005 21:17 107.501 Fr_Sep_23_2005.txt 22.09.2005 20:22 54.501 Do_Sep_22_2005.txt 21.09.2005 19:03 41.311 Mi_Sep_21_2005.txt 20.09.2005 19:25 38.342 Di_Sep_20_2005.txt 19.09.2005 19:45 37.467 Mo_Sep_19_2005.txt 18.09.2005 20:27 11.356 So_Sep_18_2005.txt 16.09.2005 16:36 17.886 Fr_Sep_16_2005.txt 16.09.2005 14:42 0 62pvt851.dat 16.09.2005 14:42 35 jakomgj5.ini 16.09.2005 14:42 35 hl1vdtil.ini 15.09.2005 19:31 22.421 Do_Sep_15_2005.txt 14.09.2005 19:08 45.394 Mi_Sep_14_2005.txt 13.09.2005 19:46 7.612 Di_Sep_13_2005.txt 12.09.2005 19:27 19.974 Mo_Sep_12_2005.txt 11.09.2005 18:22 73.987 So_Sep_11_2005.txt 10.09.2005 19:32 95.696 Sa_Sep_10_2005.txt 09.09.2005 21:07 86.547 Fr_Sep_09_2005.txt 08.09.2005 19:24 40.112 Do_Sep_08_2005.txt 07.09.2005 15:15 11.450 Mi_Sep_07_2005.txt 06.09.2005 20:17 11.267 Di_Sep_06_2005.txt 05.09.2005 19:18 46.263 Mo_Sep_05_2005.txt 04.09.2005 19:12 13.947 So_Sep_04_2005.txt 03.09.2005 20:14 137.088 Sa_Sep_03_2005.txt 02.09.2005 20:53 84.821 Fr_Sep_02_2005.txt 01.09.2005 14:49 7.051 Do_Sep_01_2005.txt 31.08.2005 19:52 50.326 Mi_Aug_31_2005.txt 30.08.2005 20:05 45.393 Di_Aug_30_2005.txt 29.08.2005 19:25 57.748 Mo_Aug_29_2005.txt 29.08.2005 13:27 520.968 LegitCheckControl.DLL 29.08.2005 13:27 23.304 GWFSPidGen.DLL 28.08.2005 19:50 47.904 So_Aug_28_2005.txt 27.08.2005 19:43 45.784 Sa_Aug_27_2005.txt 26.08.2005 20:44 24.735 Fr_Aug_26_2005.txt 26.08.2005 15:49 0 exploit.exe 24.08.2005 10:49 34.064 lhacm.acm 08.08.2005 12:34 3.799 jupdate-1.5.0_04-b05.log 06.08.2005 21:11 21 dpwtdaxp.dll 06.08.2005 21:11 14 dpwtpaxp.dll Dieser Beitrag wurde am 13.11.2005 um 14:55 Uhr von wiesel93 editiert.
|
|
|
||
Ich habe auch diese komische schwarze Box mit roter Schrift: Your system is infected" usw.... und bekomme diese nicht mehr weg.
Folgenden Log File habe ich erstellt. Kann mit bitte jemand helfen u. eine saubere anleitung posten???? Bitte!
Vielen Dank!!!!
Logfile of HijackThis v1.99.1
Scan saved at 08:46:23, on 06.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Eset\nod32krn.exe
F:\Hijachthis\HijackThis.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
Nun habe ich folgendes probiert!
Programm MicroWorld Anti-Virus + Spyware Toolkit Utility (ver. 7.1.2) gearbeitet und folgende LogFile Informationen bekommen. Wie bekomme ich das nun weg??
Vielen Dank!
Object "IMesh Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Lop.com Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "clickspring Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "IMesh Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\wuweb.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\MSXML3A.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\wuweb.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\CoverDesigner\covered-jpn.nls". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Ahead\Nero BackItUp\BackItUp-Jpn.nls". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\iPod\bin\iPodService.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" refers to invalid object "C:\Programme\ATI Technologies\ATI Control Panel\setup.exe". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".cue". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".info". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".part". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-Aware SE Professional". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Best Search Engine!!!". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "InstallShield_{3CB41017-F5CA-4C56-934C-ED02156251E6}". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Kaspersky Anti-Virus Personal". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Language pack for Ad-Aware SE". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "OIN". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0CC43FE8-9B56-3AF5-2DA9-7D99B28604C8}" refers to invalid object "c:\programme\icqlite\waqmc7.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{2B2CC8B0-2DC0-48c6-B6FD-C07820A6477E}" refers to invalid object "C:\Programme\EA Games\Command and Conquer Generäle\BrowserEngine.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}" refers to invalid object "C:\windows\system32\winacpi.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{7A7FB085-6068-4898-8CCA-480A9187277C}" refers to invalid object "C:\PROGRA~1\iPod\bin\IPODSE~1.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B29DEB73-0511-4372-95E2-0EB539D929C9}" refers to invalid object "C:\PROGRA~1\ICQLite\ICQLIT~2.EXE". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}" refers to invalid object "C:\WINDOWS\System32\ztoolb005.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F802F260-519B-11D1-BB5D-0060974C6013}" refers to invalid object "C:\Programme\ICQ\ICQShExt.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{46BC1593-FE6B-419C-922D-AF3591AED129}" refers to invalid object "C:\Programme\iPod\bin\iPodService.exe". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{5E2121E1-0300-11D4-8D3B-444553540000}" refers to invalid object "C:\windows\system32\winacpi.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{6EE45698-21BA-420D-AD40-1B547699BEFB}" refers to invalid object "C:\Programme\EA Games\Command and Conquer Generäle\BrowserEngine.DLL". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{F048AEEC-AE7B-4DEC-BC7A-F5DB4B52C048}" refers to invalid object "C:\Programme\iMesh\iMesh5\iMeshBHO.dll". Action Taken: No Action Taken.
Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.
Entry "HKCR\AcroIEHelper.AcroIEHlprObj" refers to invalid object "{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}". Action Taken: No Action Taken.
Entry "HKCR\AcroIEHelper.AcroIEHlprObj.1" refers to invalid object "{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken.
Entry "HKCR\ed2k\shell\open\command" refers to invalid object ""C:\Programme\eMule.de\emule.exe" "%1"". Action Taken: No Action Taken.
Entry "HKCR\GSASkin.Document\shell\open\command" refers to invalid object "C:\PROGRA~1\GAMESP~1\GSAPak.exe "%1"". Action Taken: No Action Taken.
Entry "HKCR\IMeshBHO.DownloadRedirect" refers to invalid object "{00000000-6CB0-410C-8C3D-8FA8D2011D0A}". Action Taken: No Action Taken.
Entry "HKCR\IMeshBHO.DownloadRedirect.1" refers to invalid object "{00000000-6CB0-410C-8C3D-8FA8D2011D0A}". Action Taken: No Action Taken.
Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\ZAMailSafe\shell\open\command" refers to invalid object ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" -warning "%1"". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.activator" refers to invalid object "{FFF5092F-7172-4018-827B-FA5868FB0478}". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.activator.1" refers to invalid object "{FFF5092F-7172-4018-827B-FA5868FB0478}". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.StockBar" refers to invalid object "{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}". Action Taken: No Action Taken.
Entry "HKCR\ZToolbar.StockBar.1" refers to invalid object "{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}". Action Taken: No Action Taken.
Datei C:\WINDOWS\System32\msnethlp32.dll infiziert von "Trojan-Proxy.Win32.Mitglieder.dq" Virus. Aktion vorgenommen: No Action Taken.