MP3s gelöscht- Virus? |
||
---|---|---|
#0
| ||
18.09.2005, 18:33
...neu hier
Beiträge: 4 |
||
|
||
18.09.2005, 19:25
Member
Beiträge: 1132 |
#2
Hallo Rotesherz,
willkommen im Board! Arbeite bitte die Anweisungen in den nachfolgend aufgeführten Links ab http://virus-protect.org/hjtkurz.html http://virus-protect.org/silentrunner.html und poste beide Logs. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
18.09.2005, 19:49
...neu hier
Themenstarter Beiträge: 4 |
#3
Danke für die schnelle Antwort. Geht ja fix bei euch. Hier mal das erste.
Logfile of HijackThis v1.99.1 Scan saved at 19:48:44, on 18.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Keymaestro\Multimedia Keyboard\nhksrv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE C:\Programme\Keymaestro\Multimedia Keyboard\MMKeybd.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Keymaestro\Onscreen Display\OSD.exe C:\Programme\Find-a-Drug\server.exe C:\Programme\Find-a-Drug\think.exe C:\Programme\Find-a-Drug\fadsetup.exe C:\Programme\ZyAIR G-200\OdHost.exe C:\Programme\ZyAIR G-200\WLUSBCfg.exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kinderspielzone.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Keymaestro\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet O4 - Global Startup: ZyAIR G-200 Wireless LAN Utility.lnk = C:\Programme\ZyAIR G-200\Startup.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: think.lgo O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - http://www.aldisued-fotos-druck.de/upload/aldi_sued_bilduebertragung.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylomgames.com/activex/zylomgamesplayer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{92CF34B5-DFCF-41E3-973D-A02E10148F13}: NameServer = 205.188.146.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{A2C86AD3-E998-4597-A3EF-5E0182233D4A}: NameServer = 192.168.1.1 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe O23 - Service: G DATA AntiVirenKit Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Keymaestro\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe Und hier das zweite. Ich hoffe, es ist das richtige. "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet" ["Yahoo! Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MULTIMEDIA KEYBOARD" = "C:\Programme\Keymaestro\Multimedia Keyboard\MMKeybd.exe" ["Netropa Corp."] "AOLDialer" = "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" ["America Online, Inc"] "MPFExe" = "C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE" ["McAfee Security"] "Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."] "AVK Mail Checker" = ""C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"" ["G DATA Software AG"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\ShellExt.dll" [empty string] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\ShellExt.dll" [empty string] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\sstext3d.scr" [MS] Startup items in "Angie" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "ZyAIR G-200 Wireless LAN Utility" -> shortcut to: "C:\Programme\ZyAIR G-200\Startup.exe" [null data] "AOL 9.0 Tray-Symbol" -> shortcut to: "C:\Programme\AOL 9.0\aoltray.exe -check" ["America Online, Inc."] INFECTION WARNING! "think.lgo" [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\ = "Real.com" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\ "ButtonText" = "Real.com" {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\ "ButtonText" = "Yahoo! Messenger" "MenuText" = "Yahoo! Messenger" "Exec" = "C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE" ["Yahoo! Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Messenger" "Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.acer.com Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["America Online, Inc."] AVK Service, AVKService, "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKService.exe" [empty string] G DATA AntiVirenKit Wächter, AVKWCtl, "C:\Programme\G DATA AntiVirenKit präsentiert von AOL\AVKWCtl.exe" [empty string] McAfee.com Personal Firewall Service, MpfService, "C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe" ["McAfee.com Corporation"] Netropa NHK Server, nhksrv, "C:\Programme\Keymaestro\Multimedia Keyboard\nhksrv.exe" [null data] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] Keyboard Driver Filters: ------------------------ HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\ "UpperFilters" = INFECTION WARNING! "msikbd2k" ["Netropa Corporation"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 40 seconds, including 7 seconds for message boxes) Dieser Beitrag wurde am 18.09.2005 um 19:59 Uhr von Rotesherz editiert.
|
|
|
||
18.09.2005, 21:28
Moderator
Beiträge: 7805 |
#4
Zur Info: Es gibt spezielle Trojaner die das machen. Sie sind meistens in Tauschboersen zu finden. Aber die, die ich bis jetzt gesehen habe(das waren einige) geben noch eine schoene Meldung aus, das alle "Illegalen" Tauschdateien geloescht wurden. Das betraf meistens die MP3s, AVI, MPG und das ganze gescharete Verzeichniss.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.09.2005, 22:07
...neu hier
Themenstarter Beiträge: 4 |
#5
@raman: ich hab gelesen, dass solche Trojaner bei Tauschbörsen sind. Nur ich bin da noch nie gewesen. Deswegen weiß ich auch nicht, wo ich son Teil her haben könnte. Das ist mir unverständlich. Ihr seid meine letzte Hoffnung.
Vor allem, ist das schon einmal passiert. Plötzlich war alles weg. Als ich dann meine CDs wieder neu draufgemacht hab auf den PC, gings ne Zeit gut und dann war alles plötzlich wieder weg. Nur ich hab keinen Bock immer alles wieder neu zu machen. Da vergeht einem einfach der Spaß an der Musik. LG Rotesherz |
|
|
||
19.09.2005, 01:59
Member
Beiträge: 4730 |
#6
Auch ich kann nichts Verdächtiges entdecken. Benutzt Du Deinen PC alleine? War der Ordner im Netzwerk freigegeben (mit Schreibzugriff)? Hast Du etwas besonderes gemacht, bevor das Problem auftrat (beispielsweise ein Systemrecovery durchgeführt, was natürlich erklären würde, warum die mp3s nicht mehr da sind)?
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
19.09.2005, 08:02
...neu hier
Themenstarter Beiträge: 4 |
#7
Ich hatte mir mal Winamp runtergeladen und danach trat das Problem auf. Ich hatte es hier her: http://winamp.com/player/
Hängt es damit zusammen? Mittlerweile hab ich es aber wieder runtergeschmissen. Aber kann es immer noch Schaden anrichten? [/url] |
|
|
||
19.09.2005, 15:49
Member
Beiträge: 4730 |
#8
Winamp nutzt quasi jeder. Ist ja auch ein sehr gutes Programm (wenn nicht sogar das beste), um Musik abzuspielen. Dass es damit zusammenhängt, kann ich mir beim besten Willen nicht vorstellen, denn meine mp3s sind, obwohl ich sie fast pausenlos abspiele, immer noch alle vorhanden.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
bin ganz neu hier und muß gleich mal was fragen.
In meinem Musikordner ist nichts mehr drin. Es ist jetzt schon das zweite Mal, dass alles weg ist. Es sind sogar alle Ordner weg. Also komplett leer.
Mir wurde gesagt, dass ich einen Virus habe, aber ich kann leider nix finden.
Bin ein ziemlicher Laie am PC, was die Technik so angeht.
Was braucht ihr für Angaben, um mir evtl helfen zu können?
Liebe Grüße
Rotesherz