Trojaner Wurm oder Virus auf meinem Pc? |
||
---|---|---|
#0
| ||
13.09.2005, 19:08
Member
Beiträge: 12 |
||
|
||
13.09.2005, 19:17
Member
Beiträge: 4730 |
#2
Poste ein HijackThis-Log:
http://virus-protect.org/hjtkurz.html Die Online-Auswertung zeigt nicht immer alles richtig an. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
13.09.2005, 19:35
Member
Themenstarter Beiträge: 12 |
#3
Hier die Logfile:
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\34142e64b32.exe C:\Programme\Mozilla1.7.11\Mozilla.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\34142e64b32.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Dokumente und Einstellungen\Wolke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.11\Mozilla.exe" -turbo O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106484342928 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{37F35187-7F8C-4C84-BA59-8148D60FBBC1}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{37F35187-7F8C-4C84-BA59-8148D60FBBC1}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: GBPoll - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
13.09.2005, 20:43
Member
Beiträge: 4730 |
#4
Mit HJT fixen:
O4 - HKLM\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe O4 - HKCU\..\Run: [34142e64b32] C:\WINDOWS\System32\34142e64b32.exe Killbox: http://virus-protect.org/killbox.html "Delete on Reboot" aktivieren. Folgendes reinkopieren und alle Abfragen mit OK/JA bestätigen: C:\WINDOWS\System32\34142e64b32.exe PC wird neugestartet. Scan mit eScanCheck und berichte: http://virus-protect.org/escan.html __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
13.09.2005, 21:26
Member
Themenstarter Beiträge: 12 |
#5
Hallo und erstmal danke..
HJT hab ich gefixt und die eine datei mit der killbox entfernt, den escan gedownloadet nun das nächste, ich kann weder download noch update machen davon... was nun? er gibt mir: dowloadseite nicht gefunden aktion werden angebrochen... desktop scheint sauber zu sein - erstmal! soll ich nen anderen scan machen?? Gruss Starrysky |
|
|
||
13.09.2005, 21:34
Member
Beiträge: 4730 |
#6
Ok, probieren wir es erstmal mit Ewido:
http://virus-protect.org/ewido.html Ich lade gleich mal ne aktuelle Version von eScanCheck auf meinen Webspace, dann entfallen für Dich der Download von mwav.exe und das Update. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
13.09.2005, 22:44
Member
Themenstarter Beiträge: 12 |
#7
So nun der Report von Ewido:
--------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 22:40:36, 13.09.2005 + Report-Checksumme: FA5EA055 + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{64AB146B-0C39-DEC3-5AED-E2DA773C655F} -> Spyware.CoolWebSearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{865E2CEC-DCDC-CF30-C932-8A491F233655} -> Spyware.CoolWebSearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{F2903213-C2D0-B852-F56D-8B10D6C8C121} -> Spyware.CoolWebSearch : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@71i[1].txt -> Spyware.Cookie.71i : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ad.adition[2].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@rotator.adjuggler[1].txt -> Spyware.Cookie.Adjuggler : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Cookies\sabine@srv1.ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Desktop\funprog\ComputerSchock.zip/ComputerSchock.exe -> Not-A-Virus.Hoax.ComputerSchock : Fehler beim Säubern C:\Dokumente und Einstellungen\Sabine\Desktop\funprog\Finger.zip/Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Desktop\funprog\viagra.zip/viagra.exe -> Not-A-Virus.Joke.Viagra : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\lustich\tests\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Eigene Dateien\lustich\tests\viagra.exe -> Not-A-Virus.Joke.Viagra : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Anwendungsdaten\Wildtangent\Cdacache\00\00\0D.dat/files\wtvh.dll -> Spyware.WildTangent : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für ComputerSchock.zip\ComputerSchock.exe -> Not-A-Virus.Hoax.ComputerSchock : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Finger.zip\Finger.exe -> Not-A-Virus.BadJoke.Finger.b : Gesäubert mit Backup C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5CD4JUH\viagra[1].zip/viagra.exe -> Not-A-Virus.Joke.Viagra : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@ad.adition[3].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@cz3.clickzs[2].txt -> Spyware.Cookie.Clickzs : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Wolke\Cookies\wolke@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\eied_s7.cab/eied_s7_c_7.exe -> TrojanDownloader.Mediket.ay : Gesäubert mit Backup C:\RECYCLER\NPROTECT\00024229.TXT -> Spyware.Cookie.71i : Gesäubert mit Backup C:\RECYCLER\NPROTECT\00024230.TXT -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\RECYCLER\NPROTECT\00024231.TXT -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\RECYCLER\NPROTECT\00024232.TXT -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup C:\RECYCLER\NPROTECT\00024233.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\RECYCLER\NPROTECT\00024234.TXT -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\RECYCLER\NPROTECT\00024235.TXT -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup ::Report Ende |
|
|
||
13.09.2005, 23:10
Member
Beiträge: 4730 |
#8
Na, das sieht gut aus.
Du hattest also CoolWebSearch auf Deinem System. Prüfe, ob Du die aktuelle Version vom CWShredder hast: http://www.intermute.com/spysubtract/cwshredder_download.html Nochmal damit prüfen. Notepad öffnen und folgendes reinkopieren: Zitat REGEDIT4"Speichern unter" wählen, dort "Alle Dateitypen" angeben und als fixme.reg auf dem Desktop speichern (oder jedenfalls dort, wo Du sie auch wiederfindest). PC in den abgesichtern Modus starten und die fixme.reg ausführen. smitRem: http://noahdfear.geekstogo.com/ Entpacken und RunThis.bat im smitRem-Ordner ausführen. Jetzt wird es einen Moment dauern und der Bildschirm wird blau werden (das ist normal). Suche die smitfiles.txt und kopiere den Inhalt hier rein. Lösche Ordner: C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Anwendungsdaten\Wildtangent Lösche Temporäre Dateien: CCleaner: http://virus-protect.org/temp.html eScan: http://managor.de/down/escheck.exe (ca. 8 MB) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 13.09.2005 um 23:13 Uhr von Managor editiert.
|
|
|
||
15.09.2005, 07:00
Member
Themenstarter Beiträge: 12 |
#9
So jetzt nochmal
Zu erst der Scanreport von ewido: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 20:16:34, 14.09.2005 + Report-Checksumme: C7C6E927 + Scanergebnis: :mozilla.8:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.14:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Googleadservices : Gesäubert mit Backup :mozilla.15:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup :mozilla.16:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\Mozilla\Profiles\default\hj4ajc1y.slt\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup ::Report Ende Und nun dieses smitfiles: smitRem log file version 2.3 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN! Ist der Rechner jetzt sauber? Hab da noch eine frage muss ich unter anderen "Benutzer" Selbiges durchführen? |
|
|
||
15.09.2005, 15:19
Member
Beiträge: 4730 |
#10
Ist der Desktop wieder normal?
Bitte mache noch einen Scan mit eScan (siehe oben) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
15.09.2005, 15:43
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@starrysky
da die Virenscanner nicht alles erkennen, arbeite auch bitte das hier ab: CCleaner--> loesche alle *temp-Datein (alles anhaken) http://virus-protect.org/temp.html alle 4 Logs mit der pfadangabe posten http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.09.2005, 22:01
Member
Themenstarter Beiträge: 12 |
#12
So auf umwegen konnte der escan nun gemacht werden den log hab ich auch, nur ist das ziemlich viel und ziemlich gross.... was braucht ihr genau davon???
Es ist so, das es eigentlich um den rechner meiner mutter geht... wenn sie aber hier gepostet hätte wär die nie durchgeblickt... hab ihr alles per mail oder per telefon erklärt... hat auch soweit geklappt... Aber was nun mit dem riesigen log von escan?? @sabina... danke aber der rechner findet leider die datei "notepad" nicht. irgendwie scheint bei meiner mum alles durcheinander zu sein, somit kann sie die datfind.bat nicht wirklich machen, im moment jedenfalls nicht! Ich fürchte ich muss doch mal hinfahren *g* Der bildschirm ist seit gestern abend sauber! Was nun? Grüsse Starrysky |
|
|
||
15.09.2005, 23:03
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@starrysky
das Log vom escan kannst du hier posten, Sachen, die sich wiederholen, kannst du weglassen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.09.2005, 08:25
Member
Themenstarter Beiträge: 12 |
#14
Okay, ich stell hier aber jetzt nicht den kompletten log rein, wollte ich machen aber selbst mein rechner kopiert keine 5 MB von der einen stelle zur anderen, hier jetzt die logs die mir aufgefallen sind
Thu Sep 15 20:33:41 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Thu Sep 15 20:33:41 2005 => Loading Spyware Signatures from new External Database (Size: 143636). Thu Sep 15 20:33:56 2005 => Offending value found in HKCU\Software\kazaa !!! Thu Sep 15 20:34:24 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Sep 15 20:34:31 2005 => Offending value found in HKCU\Software\maxthon !!! Thu Sep 15 20:34:31 2005 => Offending Folder found: C:\PROGRA~1\maxthon Thu Sep 15 20:34:31 2005 => Object "abxtoolbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu Sep 15 20:35:16 2005 => Offending file found: C:\WINDOWS\iun6002.exe Thu Sep 15 20:35:16 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken. Thu Sep 15 20:35:41 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton Utilities\". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton CleanSweep\". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton Ghost\". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Password Manager\". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".05". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".1". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DAT". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".LZZZZZZZ". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".MZZZZZZZ". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".teil2". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Anti Trojan Elite_is1". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "HSA". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "LiveReg". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Maxthon". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Reise nach Nordland". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SE". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "spywarevanisher-freescanv1.0". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SW". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SymSetup.{B9807C3D-B3DD-41b7-8321-53DDB3A3A888}". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "WildTangent CDA". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Window Washer". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{1526D87C-A955-4FAB-BF18-697BA457E352}". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{5AE68DC3-F16E-457D-947A-092D614C7ABD}_is1". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600137}". Action Taken: No Action Taken. Thu Sep 15 20:35:46 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600205}". Action Taken: No Action Taken. Thu Sep 15 20:35:55 2005 => Entry "HKCR\inifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\NOTEPAD.EXE %1". Action Taken: No Action Taken. Thu Sep 15 20:35:55 2005 => Entry "HKCR\MaxthonSkin\shell\open\command" refers to invalid object "C:\Programme\Maxthon\maxthon.exe "%1"". Action Taken: No Action Taken. Thu Sep 15 20:35:57 2005 => Entry "HKCR\txtfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\NOTEPAD.EXE %1". Action Taken: No Action Taken. Thu Sep 15 20:35:57 2005 => Entry "HKCR\XEV.FailSafeApp\shell\open\command" refers to invalid object "%SystemRoot%\system32\NOTEPAD.EXE %1". Action Taken: No Action Taken. Thu Sep 15 20:35:57 2005 => Entry "HKCR\zapfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\NOTEPAD.EXE %1". Action Taken: No Action Taken. Thu Sep 15 20:50:11 2005 => File C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\BalmMfcdWave\plhjnspn.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken. Hoffe das reicht?? grüsse Starrysky |
|
|
||
16.09.2005, 10:00
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@starrysky
das ist eine LOP-Verseuchung im abgesicherten Modus loeschen: (+ alle Unterordner) ... C:\Dokumente und Einstellungen\Wolke\Anwendungsdaten\BalmMfcdWave C:\WINDOWS\iun6002.exe deinstallieren/loeschen: C:\PROGRA~1\maxthon dann poste mir noch mehr Eintraege vom escan die aehnlich aussehen)...am besten poste alles, __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich arbeit unter Win XP, mache regelmässige Scans mit Antivir, Spybot, Ad-Aware, CWshredder und Hijackthis - den Log lasse ich online auswerten und bearbeite entsprechend, so mein Problem jetzt
Der Bildschirm (Hintergrund) sieht folgendermaßen aus: Knallrot und folgende Meldungen sind darin integriert:
you are visitin illegal pornsites!!!
FBI knows everything about you right now - all info is logged...
Klick here to protect yourself urgently befor its to late.
Your IP logged - Security risk level - high
your being watched and all your activiti is tracked!
Your live is in Danger
Klick here to stop the Thread
download free spyware removal
Dann noch eine Fehlermeldung die immer wieder kommt:
Warning you computer is full of evidence. Klick yes to clean your pc now.
Das ist ein zuzätzliches Fenster mit blauen Hintergrund das sich auch immer wieder mal öffnet
Detected SPYware! System error #384
Your IP address detected. Using this address a remote computer has gainde
An access to your computer and proably is collecting the information about
the sites you`ve visited and the files contained in the folder Temporary
Internet Files. Attention! Ask for help or install the software for
Deleting secret information about the sites you visited.
Your computer is full of evidences!
Your name: Wolke
Your IP address: (logged)
Risk status for further
Investigation: VERY HIGH RISK
Detected Spyware: Desktop.Hijacker.Afcore.H
Internet Files Folder: Temorary Internet Files
User Language: DE
To protect from the Spyware – click here
To prevent information transmission – click here
To delete the history of your activity. click here
To hide this warning. click here.
Bitte vielleicht kann mir einer helfen wie ich den Schei... wegbekomme...
Ich weiss mir jetzt keinen rat mehr, muss ich alles formatieren, nütz das überhaupt was??