NewDotNet/NewDotNet.dll /A.7.Virus - keine Internetverbindung mehr ?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
13.01.2007, 15:31
Ehrenmitglied
Themenstarter Beiträge: 29434 |
||
|
||
13.01.2007, 16:10
...neu hier
Beiträge: 7 |
#137
und dann is der auch aus der registry draußen?
ok, alles gelöscht. start scan now! edit: counterspy has not detected any risks on your computer. und jetz? Dieser Beitrag wurde am 13.01.2007 um 16:41 Uhr von jwsd2 editiert.
|
|
|
||
13.01.2007, 17:50
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#138
jetzt muesste dein rechner um einiges sauberer sein
TuneUp http://virus-protect.org/reinigungstoolsregistry.html wende NUR an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner ~~~~~~~~~~~~~~~~~~~~ «« Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Cisco Systems, Inc. VPN Service (CVPND) - deaktivieren deinstalliere: C:\Programme\Cisco Systems\VPN Client - wenn du es nicht unbedingt brauchst. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2007, 20:07
...neu hier
Beiträge: 7 |
#139
diskcleaner und registry cleaner angewendet.
cisco systems vpn service deaktiviert. vpn client deinstalled. counterspy findet nichts mehr. icq geht wieder. trotzdem keine mails über thunderbrid abrufbar. kein flash fxp zugang. kein mirc. (unable to connect server) |
|
|
||
14.01.2007, 00:12
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#140
hast du die XP-Firewall aktiviert ?
oder eine andere Firewall? dort muesstest du nachhaken. poste dieses log http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2007, 05:45
...neu hier
Beiträge: 7 |
#141
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\ 32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00 "DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung" "DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00 "DependOnGroup"=hex(7):00 "ObjectName"="LocalSystem" "Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:00000a0e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "D:\\01-progs\\flashfxp\\FlashFXP.exe"="D:\\01-progs\\flashfxp\\FlashFXP.exe:*:Enabled:FlashFXP v3" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 "DoNotAllowExceptions"=dword:00000000 "DisableNotifications"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "D:\\01-progs\\flashfxp\\FlashFXP.exe"="D:\\01-progs\\flashfxp\\FlashFXP.exe:*:Enabled:FlashFXP v3" "D:\\01-progs\\mirc\\mirc.exe"="D:\\01-progs\\mirc\\mirc.exe:*:Enabled:mIRC" "D:\\01-progs\\autotrade\\db\\bin\\pree_mysqld.exe"="D:\\01-progs\\autotrade\\db\\bin\\pree_mysqld.exe:*:Enabledree_mysqld" "D:\\01-progs\\autotrade\\pree.exe"="D:\\01-progs\\autotrade\\pree.exe:*:Enabledree" "E:\\games\\cs\\SteamApps\\hellkite13@gmx.de\\counter-strike\\hl.exe"="E:\\games\\cs\\SteamApps\\hellkite13@gmx.de\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher" "D:\\01-progs\\sam2\\SAM2.exe"="D:\\01-progs\\sam2\\SAM2.exe:*:Enabled:SAM2" "D:\\01-progs\\hlsw\\hlsw.exe"="D:\\01-progs\\hlsw\\hlsw.exe:*:Enabled:HLSW" "D:\\01-progs\\icq\\ICQLite.exe"="D:\\01-progs\\icq\\ICQLite.exe:*:Enabled:ICQ Lite" "D:\\01-progs\\sam3\\SAMBC.exe"="D:\\01-progs\\sam3\\SAMBC.exe:*:Enabled:SAMBC" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aim6.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aim6.exe:*:Enabled:AIM" "C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe:*isabled:AOL Loader" "C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aolsoftware.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1158174292\\ee\\aolsoftware.exe:*isabled:AOL Services" "D:\\01-progs\\firefox\\firefox.exe"="D:\\01-progs\\firefox\\firefox.exe:*:Enabled:Firefox" "D:\\01-progs\\raiden\\r.exe"="D:\\01-progs\\raiden\\r.exe:*:Enabled:RaidenFTPD" "D:\\01-progs\\skype\\Skype.exe"="D:\\01-progs\\skype\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] ...ganz ehrlich: wenn ich das so anschaue; ich hab kein plan was ich da tue |
|
|
||
14.01.2007, 12:32
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#142
wie gehst du ins internet - Router ? Modem ? - AOL ?
aolsoftware.exe:*disabled:AOL Services" .......... "D:\\01-progs\\flashfxp\\FlashFXP.exe"="D:\\01-progs\\flashfxp\\FlashFXP.exe:*:Enabled:FlashFXP v3" "D:\\01-progs\\mirc\\mirc.exe"="D:\\01-progs\\mirc\\mirc.exe:*:Enabled:mIRC" - ist in der Firewall aktiviert - muesste also funktionieren. - du solltest in der XP-Firewall die POP3 - freischalten, damit der Thunderbird funktioniert. http://www.rz.rwth-aachen.de/computing/windows/netzwerk_beratung/sicherheit/icf/xpfirewall.php Allerdings hat das nun nichts mehr mit viren zu tun und ich fuerchte, dass ich nicht mehr viel weiterhelfen kann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2007, 23:26
...neu hier
Beiträge: 1 |
#143
Hallo,
ich hatte auch einige Tage lang Ärger mit meinem FreeAV AntiVirenscanner - oder besser gesagt durch dessen Auffinden von den new.net - Komponenten in C:\Windows: NEWDOTNET2_98.DLL NEWDOTNET2_98-1.DLL NEWDOT~1.DLL Nach Verschieben in Quarantäne ging in Sachen Internet nix mehr. Ich konnte zwar von meinen anderen XP-Rechner über den Router auf meinen befallenen PC zugreifen (und umgekehrt), ich konnte vorhandene html-Dateien öffnen, aber ins www war nicht. WIN98SE neu installiert, brachte alles nix. Dann stieß ich auf folgenden Artikel: http://www.schmager.de/newdotnet.shtml So bin ich die unliebsamen Dateien wieder los geworden: Virenscanner-Guard ausgestellt (sonst Zugriffsverweigerung) die o.g. Dateien aus Quarantäne wiederhergestellt über Systemsteuerung/Software new.net deinstalliert (benötigt NEWDOT~1.DLL) System neu gestartet die o.g. Dateien mit Taste "Entf" gelöscht Virenscanner-Guard wieder ein www funktioniert wieder!! 8-) So einfach kann's manchmal sein. Viel Erfolg bei euerem newdotnet-Problem! (sofern es denn wirklich ein Problem ist) Gute N8! Ralf Dieser Beitrag wurde am 14.01.2007 um 23:30 Uhr von raschme editiert.
|
|
|
||
15.01.2007, 14:01
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#144
new.net kann man nur deinstallieren, wenn folgender Schluessel aus der Registry geloescht ist:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net und die newdotnet...dll (nummer variiert) , die sich im Winsock befinden, sollte man mit LSPfix rausloeschen http://virus-protect.org/lspfix1.html http://virus-protect.org/lspfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 21:53
Member
Beiträge: 12 |
#145
Hallo, liebes Forum und ganz besonders liebe Sabina,
ich bin 47, kenne mich nicht besonders gut aus, hab aber viel Zeit und aus Foren schon einiges gelernt. Bei mir werden zwei Dateien immer wieder geladen, obwohl ich im Systemstart alles deaktiviert habe, und das sind Newdot~1,dll und dllhost.exe. Soweit ich das nun mitbekommen habe ist die dllhost von dem Welchia-Wurm. Ich fand sie in meinem EigeneDateien-Ordner. Hab avast! Antivirus-Programm laufen lassen und alles gelöscht, was angezeigt wurde, daraufhin erschien die dllhost.exe nur noch einmal im Systemstart, aber auch weiterhin nach Deaktivierung. Ins Netz kam ich nun nur noch über Java, Firefox fand nichts. Fast alles andere total langsam, wenn überhaupt. Hab dann Windows XP neu installiert. Nun kommme ich wieder ins Netz, aber die dllhost.exe ist immer noch da. Ob die Newdot~1.dll vorher schon da war, weiß ich nicht und auch nicht ob die beiden zusammengehören. Nun hab ich schon viel gelesen und mir einige Dinge heruntergeladen, falls ich später nicht mehr in Netz kommen sollte. Leider bin ich mir über die Reihenfolge nicht ganz im Klaren und hab Angst, etwas falsch zu machen. Das HijackThis Protokoll hab ich und poste es gerne, wenn sich jemand (Sabina?) die Mühe machen würde, es zu überprüfen. Vielen Dank und ich freue mich über jede Antwort! Liebe Grüße, Sharona |
|
|
||
08.02.2007, 13:39
Ehrenmitglied
Themenstarter Beiträge: 29434 |
||
|
||
08.02.2007, 20:15
Member
Beiträge: 12 |
#147
Logfile of HijackThis v1.99.1
Scan saved at 20:13:49, on 08.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\Brmfrmps.exe C:\WINDOWS\system32\svchosts.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\DOKUME~1\Hannah\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R3 - URLSearchHook: (no name) - {83165FEE-9627-9DA2-5526-9D1BC27110B3} - C:\WINDOWS\system32\miz.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - Global Startup: dllhost.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {63DF43C2-469A-41F3-B119-17B1ACE8BB50} (Sony SNC-CS3 Image Viewer) - http://82.127.17.206/home/SonySncCs3View.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141811180455 O17 - HKLM\System\CCS\Services\Tcpip\..\{F8176F8F-C725-4AF0-B34B-5140C5826852}: NameServer = 194.97.173.124 194.97.173.125 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000140 (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe |
|
|
||
09.02.2007, 00:41
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#148
Sharona
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\dllhost.exe poste den report ----------------------------------------------------------------------- Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Client IP-IPX in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ---------------------------------------------------------------------- «« poste dieses log http://virus-protect.org/artikel/tools/combofix.html «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.02.2007, 05:32
Member
Beiträge: 12 |
#149
Liebe Sabina,
erstmal vielen Dank für die kurze, prägnante und verständliche Arbeitsanleitung! Das gibt jetzt leider einen Roman hier, zumindest beim Combofix-Report. Ich habe tatsächlich nun über 4 Stunden an diesen vier Logs gesessen, so langsam ist mein PC. Bis sich ein Fenster überhaupt nur auftut, vergehen Minuten. virustotal Complete scanning result of "dllhost.exe", received in VirusTotal at 02.09.2007, 01:41:40 (CET). Antivirus Version Update Result AntiVir 7.3.1.34 02.08.2007 no virus found Authentium 4.93.8 02.08.2007 no virus found Avast 4.7.936.0 02.08.2007 no virus found AVG 386 02.08.2007 no virus found BitDefender 7.2 02.09.2007 no virus found CAT-QuickHeal 9.00 02.08.2007 no virus found ClamAV devel-20060426 02.09.2007 no virus found DrWeb 4.33 02.08.2007 no virus found eSafe 7.0.14.0 02.08.2007 no virus found eTrust-InoculateIT 30.4.3378 02.08.2007 no virus found eTrust-Vet 30.4.3378 02.08.2007 no virus found Ewido 4.0 02.08.2007 no virus found Fortinet 2.85.0.0 02.08.2007 W32/Vbbot F-Prot 4.2.1.29 02.08.2007 no virus found F-Secure 6.70.13030.0 02.09.2007 Virus.Win32.Fontra.c Ikarus T3.1.0.31 02.08.2007 no virus found Kaspersky 4.0.2.24 02.09.2007 Virus.Win32.Fontra.c McAfee 4959 02.08.2007 W32/Vbbot Microsoft 1.2101 02.08.2007 no virus found NOD32v2 2046 02.08.2007 no virus found Norman 5.80.02 02.08.2007 no virus found Panda 9.0.0.4 02.08.2007 no virus found Prevx1 V2 02.09.2007 Polynomial.Code.Exploit Sophos 4.13.0 02.08.2007 no virus found Sunbelt 2.2.907.0 02.02.2007 no virus found Symantec 10 02.09.2007 no virus found TheHacker 6.1.6.053 02.07.2007 no virus found UNA 1.83 02.08.2007 no virus found VBA32 3.11.2 02.08.2007 suspected of Trojan-Dropper.VB.24 (paranoid heuristics) VirusBuster 4.3.19:9 02.08.2007 Worm.Fontra.B Aditional Information File size: 393216 bytes MD5: 67a79323758501c88c33ed51cd93be02 SHA1: 1ac7d3806a5dd91da2b4e026e3a5293474f9a743 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=af3575669081 regsearch Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 09.02.2007 02:03:34 for strings: ; 'client ip-ipx' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000] "Service"="Client IP-IPX" "DeviceDesc"="Client IP-IPX" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX] "DisplayName"="Client IP-IPX" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000] "Service"="Client IP-IPX" "DeviceDesc"="Client IP-IPX" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX] "DisplayName"="Client IP-IPX" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000] "Service"="Client IP-IPX" "DeviceDesc"="Client IP-IPX" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX] "DisplayName"="Client IP-IPX" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX\Enum] ; End Of The Log... combofix "Hannah" - 07-02-09 3:14:29 Service Pack 2 ComboFix 07-02-07 - Running from: "C:\Dokumente und Einstellungen\Hannah\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe C:\Programme\Gemeinsame Dateien\Yazzle1396OinUninstaller.exe C:\WINDOWS\system32\svchosts.exe C:\WINDOWS\system32\unsvchosts.exe C:\WINDOWS\system32\unsvchosts.lzma C:\Programme\Gemeinsame Dateien\{3C0E2~1 C:\Programme\Gemeinsame Dateien\{9C0E2~1 C:\Programme\InetGet2 C:\Programme\Ipwindows C:\Programme\Outerinfo C:\Programme\outlook ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\qoobox\purity\DOKUME~1 C:\qoobox\purity\DOKUME~1\Hannah C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\DOBE~1 C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\from.txt C:\qoobox\purity\DOKUME~1\Hannah\Eigene Dateien\DOBE~1\?dobe C:\qoobox\purity\Programme\ECURIT~1 C:\qoobox\purity\Programme\SKS~1 ((((((((((((((((((((((((((((((( Files Created from 2007-01-09 to 2007-02-09 )))))))))))))))))))))))))))))))))) 2007-02-09 03:03 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Prevx 2007-02-09 03:02 7,680 --a------ C:\WINDOWS\system32\drivers\pxinst.dll 2007-02-09 03:02 7,552 --a------ C:\WINDOWS\system32\drivers\pxcom.sys 2007-02-09 03:02 276,992 --a------ C:\WINDOWS\system32\drivers\pxfsf.sys 2007-02-09 03:02 18,560 --a------ C:\WINDOWS\system32\drivers\pxtdi.sys 2007-02-09 03:02 13,952 --a------ C:\WINDOWS\system32\drivers\pxrd.sys 2007-02-09 03:02 100,864 --a------ C:\WINDOWS\system32\drivers\PxEmu.sys 2007-02-09 03:02 <DIR> d-------- C:\Programme\Prevx1 2007-02-09 03:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Prevx 2007-02-09 02:20 <DIR> d-------- C:\SDFix 2007-02-08 23:25 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Lavasoft 2007-02-08 09:54 <DIR> d-------- C:\DOKUME~1\NETWOR~1\Anwendungsdaten\Symantec 2007-02-08 04:33 <DIR> d-------- C:\Programme\Norton AntiVirus 2007-02-08 04:31 83,664 --a------ C:\WINDOWS\system32\S32EVNT1.DLL 2007-02-08 04:31 110,352 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2007-02-08 04:31 <DIR> d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\Symantec 2007-02-08 04:26 <DIR> d-------- C:\Programme\Symantec 2007-02-08 04:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared 2007-02-08 04:26 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Symantec 2007-02-08 00:49 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-02-08 00:49 <DIR> d-------- C:\Programme\Grisoft 2007-02-06 22:36 <DIR> d-------- C:\WINDOWS\ShellNew 2007-02-05 22:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2007-02-05 22:29 <DIR> d-------- C:\Programme\Alwil Software 2007-02-05 22:21 <DIR> d-------- C:\Programme\RegCleaner 2007-02-05 21:35 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-02-05 21:35 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-02-05 21:33 <DIR> d-------- C:\Programme\Picasa2 2007-02-05 21:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Google Updater 2007-02-05 20:33 393,216 --a------ C:\DOKUME~1\Axel\hhhl.exe 2007-02-05 20:33 188 --a------ C:\DOKUME~1\Axel\ggg.bat 2007-02-05 11:28 417,792 --a------ C:\Programme\Video.exe 2007-02-05 11:28 417,792 --a------ C:\Programme\Track_03.exe 2007-02-05 11:28 393,216 --a------ C:\Programme\Setup.exe 2007-02-05 11:28 393,216 --a------ C:\DOKUME~1\Hannah\hhhl.exe 2007-01-21 12:18 <DIR> d--h----- C:\WINDOWS\system32\vidmon 2007-01-21 12:18 <DIR> d--h----- C:\WINDOWS\system32\nfomon 2007-01-21 12:18 <DIR> d--h----- C:\Programme\Gemeinsame Dateien\Uninstall Information 2007-01-21 12:18 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\vidmon 2007-01-21 12:18 <DIR> d--h----- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\nfo 2007-01-21 00:09 <DIR> d-------- C:\Programme\PeDevice 2007-01-21 00:07 188 --a------ C:\DOKUME~1\Hannah\ggg.bat 2007-01-20 23:40 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll 2007-01-20 13:19 <DIR> d-------- C:\Programme\Bridge Builder 2007-01-15 03:41 <DIR> d-------- C:\Programme\BearShare 2007-01-15 03:41 <DIR> d-------- C:\My Downloads (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-09 03:13 -------- d-------- C:\Programme\mozilla firefox 2007-02-09 03:11 25214 --a------ C:\Programme\b.ico 2007-02-09 03:11 25214 --a------ C:\Programme\a.ico 2007-02-09 03:11 218607 --a------ C:\Programme\c.zip 2007-02-09 03:11 217707 --a------ C:\Programme\b.zip 2007-02-09 03:11 201628 --a------ C:\Programme\a.zip 2007-02-08 23:47 -------- d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\openoffice.org2 2007-02-08 19:36 4469 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\cleanup!.log 2007-02-08 08:26 -------- d-------- C:\Programme\password-finder 2007-02-08 04:22 -------- d-------- C:\Programme\lavasoft 2007-02-05 21:23 -------- d-------- C:\Programme\google 2007-02-05 20:31 -------- d-------- C:\Programme\bsw 2007-02-05 19:10 -------- d-------- C:\Programme\trojancheck 6 2007-02-03 05:54 -------- d-------- C:\DOKUME~1\Hannah\Anwendungsdaten\skype 2007-01-27 18:35 -------- d-------- C:\Programme\zylom games 2007-01-27 18:25 -------- d-------- C:\Programme\kazaa lite 2007-01-27 18:23 -------- d-------- C:\Programme\reflexive 2007-01-15 08:12 -------- d-------- C:\Programme\winamp 2007-01-10 04:09 -------- d-------- C:\Programme\opera 2007-01-07 05:08 -------- d-------- C:\Programme\microsoft picture it! photopub 2006-12-31 01:18 -------- d---s---- C:\DOKUME~1\Hannah\Anwendungsdaten\microsoft 2006-12-16 01:41 -------- d-------- C:\Programme\7-zip 2006-12-16 01:31 512000 --------- C:\WINDOWS\system32\pauls schreibtisch-bungen.scr 2006-12-13 02:08 -------- d-------- C:\Programme\zomecad 2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-11-28 23:18 8464 --a------ C:\WINDOWS\system32\sporder.dll 2006-11-11 10:35 89 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\p6demopfad 2006-11-11 10:35 20 --a------ C:\DOKUME~1\Hannah\Anwendungsdaten\anzds (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto" "!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" "PrevxOne"="\"C:\\Programme\\Prevx1\\PXConsole.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^dllhost.exe] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe" "backup"="C:\\WINDOWS\\pss\\dllhost.exeCommon Startup" "location"="Common Startup" "command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\dllhost.exe" "item"="dllhost" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Google Updater.lnk" "backup"="C:\\WINDOWS\\pss\\Google Updater.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Google\\GOOGLE~2\\GOOGLE~1.EXE -systray -startup" "item"="Google Updater" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_erinnerung_18_demo.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\p6_erinnerung_18_demo.lnk" "backup"="C:\\WINDOWS\\pss\\p6_erinnerung_18_demo.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\phase6\\PHASE6~1\\WinStart\\WINSTA~1.EXE " "item"="p6_erinnerung_18_demo" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Express Calendar Checker SE.lnk" "backup"="C:\\WINDOWS\\pss\\Photo Express Calendar Checker SE.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\ULEADS~1\\ULEADP~1\\CalCheck.exe " "item"="Photo Express Calendar Checker SE" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PrintScreen starten.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PrintScreen starten.lnk" "backup"="C:\\WINDOWS\\pss\\PrintScreen starten.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\HEINZM~1\\PRINTS~1\\PRINTS~1.EXE " "item"="PrintScreen starten" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Status Monitor.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Status Monitor.lnk" "backup"="C:\\WINDOWS\\pss\\Status Monitor.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Brother\\Brmfcmon\\BrMfcWnd.exe Brother DCP-110C /STARTUP" "item"="Status Monitor" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Hannah^Startmenü^Programme^Autostart^Froggy.lnk] "path"="C:\\Dokumente und Einstellungen\\Hannah\\Startmenü\\Programme\\Autostart\\Froggy.lnk" "backup"="C:\\WINDOWS\\pss\\Froggy.lnkStartup" "location"="Startup" "command"="C:\\Dokumente und Einstellungen\\Hannah\\Lokale Einstellungen\\Temp\\Rar$EX01.034\\Froggy.exe " "item"="Froggy" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="avgas" "hkey"="HKLM" "command"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ashDisp" "hkey"="HKLM" "command"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ccApp" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="DevDetect" "hkey"="HKLM" "command"="DevDetect.exe -autorun" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="GoogleDesktop" "hkey"="HKLM" "command"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AOLSoftware" "hkey"="HKLM" "command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1160239680\\ee\\AOLSoftware.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IpWins] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ipwins" "hkey"="HKLM" "command"="C:\\Programme\\Ipwindows\\ipwins.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="WkUFind" "hkey"="HKLM" "command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NEWDOT~1" "hkey"="HKLM" "command"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~1.DLL,ClientStartup -s" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UERSU_0001_N68M1402] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ErrorSafeScannerInstall_de" "hkey"="HKLM" "command"="\"C:\\Dokumente und Einstellungen\\Hannah\\Desktop\\ErrorSafeScannerInstall_de.exe\" -nag " "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ChkFont" "hkey"="HKLM" "command"="C:\\Programme\\Ulead Systems\\Ulead Photo Express 2 SE\\ChkFont.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Prro] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="spoolsv" "hkey"="HKCU" "command"="\"C:\\DOKUME~1\\Hannah\\EIGENE~1\\DOBE~1\\spoolsv.exe\" -vt yazb" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Qcrnlil] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="w?wexec" "hkey"="HKCU" "command"="C:\\Programme\\??sks\\w?wexec.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="monitor" "hkey"="HKLM" "command"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AdobeUpdateManager" "hkey"="HKCU" "command"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Agent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="whagent" "hkey"="HKLM" "command"="C:\\Programme\\webHancer\\Programs\\whagent.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winampa" "hkey"="HKLM" "command"="C:\\Programme\\Winamp\\winampa.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{9C0E2B4B-03E5-1031-0212-011228000031}] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Update" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\{9C0E2B4B-03E5-1031-0212-011228000031}\\Update.exe\" mc-110-12-0000140" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "appinit_dlls"="C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Hannah.job ******************************************************************** ******************************************************************** Completion time: 07-02-09 3:28:08 SDFix SDFix: Version 1.63 09.02.2007 - 3:49:36,34 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\WINDOWS\\system32\\usmt\\migwiz.exe"="C:\\WINDOWS\\system32\\usmt\\migwiz.exe:*isabled:Assistent zum Übertragen von Dateien und Einstellungen" "C:\\Programme\\eMule.de\\emule.exe"="C:\\Programme\\eMule.de\\emule.exe:*isabled:eMule" "C:\\Programme\\Kazaa Lite\\clean.kmd"="C:\\Programme\\Kazaa Lite\\clean.kmd:*:Enabled:clean" "C:\\Programme\\SmartFTP\\SmartFTP.exe"="C:\\Programme\\SmartFTP\\SmartFTP.exe:*:Enabled:SmartFTP" "C:\\Programme\\ViennaSoft\\perfect_ftp.exe"="C:\\Programme\\ViennaSoft\\perfect_ftp.exe:*:Enabled:FTP_Programm" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*isabled:Yahoo! FT Server" "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*isabled:Yahoo! Messenger" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer" "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox" "C:\\Programme\\Microsoft Office\\Office\\FRONTPG.EXE"="C:\\Programme\\Microsoft Office\\Office\\FRONTPG.EXE:*isabled:Microsoft FrontPage" "C:\\Program Files\\WS_FTP\\WS_FTP95.exe"="C:\\Program Files\\WS_FTP\\WS_FTP95.exe:*:Enabled:WS_FTP 95" "C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"="C:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe:*:Enabled:XPressUpdate" "C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\tinfo.dll_dateien\Thumbs.db C:\WINDOWS\twain.dll C:\WINDOWS\twain_32.dll C:\WINDOWS\system32\mfc42.dll C:\WINDOWS\system32\msvcrt.dll C:\WINDOWS\system32\oleaut32.dll C:\WINDOWS\system32\olepro32.dll C:\WINDOWS\system32\wodfamoh.dll C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\PIP\launcher.exe C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Picasa2\setup.exe C:\WINDOWS\system32\PackethSvc.exe C:\WINDOWS\system32\regsvr32.exe C:\hiberfil.sys C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT39.tmp C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT4.tmp C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT5.tmp C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT52.tmp C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater\cache\BIT53.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Vorlagen\~WRL1280.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Vorlagen\~WRL4022.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0161.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0225.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0230.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0580.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0609.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0670.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0732.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0896.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL0985.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1012.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1161.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1241.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1282.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1512.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1551.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1555.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL1643.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2005.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2094.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2157.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2288.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2296.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2391.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2445.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2546.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2658.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2707.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2730.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL2783.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3444.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3554.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3609.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3752.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3807.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3848.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3853.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL3989.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL4007.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\Microsoft\Word\~WRL4076.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\ScanSoft\PaperPort\9\Temp\bin21.tmp C:\Dokumente und Einstellungen\Hannah\Anwendungsdaten\ScanSoft\PaperPort\9\Temp\bin22.tmp C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\Job\~WRL0260.tmp C:\Dokumente und Einstellungen\Hannah\Eigene Dateien\Job\~WRL2830.tmp C:\Programme\Google\Google Desktop Search\BIT56.tmp C:\Programme\Google\Google Desktop Search\BIT6.tmp C:\Wechseldatentr„ger (I)\~WRL1167.tmp C:\Wechseldatentr„ger (I)\~WRL2603.tmp C:\Wechseldatentr„ger (I)\~WRL4028.tmp C:\Wechseldatentr„ger (I)\Literaturhaus\~WRL1474.tmp C:\Wechseldatentr„ger (I)\Literaturhaus\~WRL3341.tmp C:\Wechseldatentr„ger (I)\Literaturhaus\~WRL3973.tmp C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bf93e03670e391310a38665326346f18\BIT7.tmp Finished |
|
|
||
09.02.2007, 11:36
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#150
Sharona
«« Cleanup anwenden http://virus-protect.org/cleanup.html ------------------------- «« Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {83165FEE-9627-9DA2-5526-9D1BC27110B3} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) dllhost in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) PeDevice in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ---------------------------------------------------------------------- Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\dllhost*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint ------------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\«« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
__________
MfG Sabina
rund um die PC-Sicherheit