Home » Viren, Trojaner & Malware Forum » TR/Qhost.QR TR/Click.526 Wie kann man die entfernen? » Themenansicht
TR/Qhost.QR TR/Click.526 Wie kann man die entfernen?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
21.09.2005, 16:48
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
21.09.2005, 17:09
Member
Themenstarter Beiträge: 16 |
#17
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC0-6883 Verzeichnis von C:\WINDOWS\system32 21.09.2005 07:45 238 vsconfig.xml 21.09.2005 06:23 21.828 nvapps.xml 21.09.2005 06:23 23.719 FFASTLOG.TXT 15.09.2005 07:18 2.184 wpa.dbl 07.09.2005 12:47 2.550 Uninstall.ico 07.09.2005 12:47 1.406 Help.ico 07.09.2005 12:47 1.718 Open.ico 07.09.2005 12:47 1.406 AddQuit.ico 07.09.2005 12:47 5.350 IE.ico 07.09.2005 12:47 9.470 Desktop.ico 07.09.2005 12:46 1.718 Quick.ico 07.09.2005 11:24 0 asfiles.txt 28.08.2005 15:14 705 msexnpfi.exe 09.08.2005 22:41 13.581 hnocc.txt 29.07.2005 21:07 73.728 asuninst.exe 05.07.2005 10:57 335.872 mgxoschk.dll 03.07.2005 17:49 21.840 SIntfNT.dll 03.07.2005 17:49 17.212 SIntf32.dll 03.07.2005 17:49 12.067 SIntf16.dll 23.06.2005 18:39 50.186 QuickTime.qtp 02.06.2005 18:32 317.836 prfh0407.dat 02.06.2005 18:32 48.488 prfc0407.dat 09.04.2005 22:17 401.408 DLLAV32.dll 09.04.2005 22:17 36.864 DLLPNT32.dll 09.04.2005 22:17 49.152 DLLIO32.dll 09.04.2005 22:17 155.648 DLLDEV32.dll 09.04.2005 22:17 143.360 DLLDRV32.dll 09.04.2005 22:17 32.768 STRING32.dll 09.04.2005 22:17 188.416 DLLRES32.dll 09.04.2005 21:05 27.807 mgxcdr.txt 27.03.2005 09:01 311.604 perfh009.dat 27.03.2005 09:01 48.156 perfc007.dat 27.03.2005 09:01 316.594 perfh007.dat 27.03.2005 09:01 39.992 perfc009.dat 27.03.2005 09:01 723.744 PerfStringBackup.INI 17.03.2005 20:15 43.520 CmdLineExt03.dll 24.02.2005 08:32 229.376 nvrscs.dll 24.02.2005 08:32 307.200 nvrsar.dll 24.02.2005 08:32 237.568 nvrsda.dll 24.02.2005 08:32 5.332.992 nvoglnt.dll 24.02.2005 08:32 245.760 nvnt4cpl.dll 24.02.2005 08:32 86.016 nvmctray.dll 24.02.2005 08:32 1.458.176 nview.dll 24.02.2005 08:32 540.672 nvhwvid.dll 24.02.2005 08:32 1.339.392 nvdspsch.exe 24.02.2005 08:32 14.435 nvdisp.nvu 24.02.2005 08:32 5.537.792 nvcpl.dll 24.02.2005 08:32 258.048 nvrsde.dll 24.02.2005 08:32 262.144 nvrsel.dll 24.02.2005 08:32 147.456 nvcolor.exe 24.02.2005 08:32 32.256 nvcodins.dll 24.02.2005 08:32 393.216 keystone.exe 24.02.2005 08:32 1.495.040 nwiz.exe 24.02.2005 08:32 229.376 nvrseng.dll 24.02.2005 08:32 163.840 nvwrszht.dll 24.02.2005 08:32 32.256 nvcod.dll 24.02.2005 08:32 299.008 nvwrstr.dll 24.02.2005 08:32 290.816 nvwrssv.dll 24.02.2005 08:32 294.912 nvwrssl.dll 24.02.2005 08:32 290.816 nvwrssk.dll 24.02.2005 08:32 307.200 nvwrsru.dll 24.02.2005 08:32 311.296 nvwrsptb.dll 24.02.2005 08:32 319.488 nvwrspt.dll 24.02.2005 08:32 290.816 nvwrspl.dll 24.02.2005 08:32 294.912 nvwrsno.dll 24.02.2005 08:32 311.296 nvwrsnl.dll 24.02.2005 08:32 192.512 nvwrsko.dll 24.02.2005 08:32 208.896 nvwrsja.dll 24.02.2005 08:32 319.488 nvwrsit.dll 24.02.2005 08:32 307.200 nvwrshu.dll 24.02.2005 08:32 274.432 nvwrshe.dll 24.02.2005 08:32 319.488 nvwrsfr.dll 24.02.2005 08:32 294.912 nvwrsfi.dll 24.02.2005 08:32 319.488 nvwrsesm.dll 24.02.2005 08:32 327.680 nvwrses.dll 24.02.2005 08:32 278.528 nvwrseng.dll 24.02.2005 08:32 331.776 nvwrsel.dll 24.02.2005 08:32 303.104 nvwrsde.dll 24.02.2005 08:32 290.816 nvwrsda.dll 24.02.2005 08:32 278.528 nvwrscs.dll 24.02.2005 08:32 274.432 nvwrsar.dll 24.02.2005 08:32 442.368 nvappbar.exe 24.02.2005 08:32 1.019.904 nvwimg.dll 24.02.2005 08:32 1.662.976 nvwdmcpl.dll 24.02.2005 08:32 81.920 nvwddi.dll 24.02.2005 08:32 176.128 nvudisp.exe 24.02.2005 08:32 73.728 nvtuicpl.cpl 24.02.2005 08:32 127.043 nvsvc32.exe 24.02.2005 08:32 466.944 nvshell.dll 24.02.2005 08:32 114.688 nvrszht.dll 24.02.2005 08:32 208.896 nvrszhc.dll 24.02.2005 08:32 237.568 nvrstr.dll 24.02.2005 08:32 3.973.888 nv4_disp.dll 24.02.2005 08:32 237.568 nvrssv.dll 24.02.2005 08:32 237.568 nvrssl.dll 24.02.2005 08:32 237.568 nvrssk.dll 24.02.2005 08:32 249.856 nvrsru.dll 24.02.2005 08:32 249.856 nvrsptb.dll 24.02.2005 08:32 253.952 nvrspt.dll 24.02.2005 08:32 237.568 nvrspl.dll 24.02.2005 08:32 262.144 nvrses.dll 24.02.2005 08:32 253.952 nvrsnl.dll 24.02.2005 08:32 245.760 nvrsko.dll 24.02.2005 08:32 249.856 nvrsja.dll 24.02.2005 08:32 262.144 nvrsit.dll 24.02.2005 08:32 241.664 nvrshu.dll 24.02.2005 08:32 303.104 nvrshe.dll 24.02.2005 08:32 266.240 nvrsfr.dll 24.02.2005 08:32 229.376 nvrsfi.dll 24.02.2005 08:32 253.952 nvrsesm.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC0-6883 Verzeichnis von C:\WINDOWS\Temp 21.09.2005 14:56 2.048.000 AcrB6.tmp 21.09.2005 14:56 199 AcrB7.tmp 21.09.2005 14:56 2.048.000 AcrB4.tmp 21.09.2005 14:56 199 AcrB5.tmp 21.09.2005 10:50 16.384 Perflib_Perfdata_2b4.dat 21.09.2005 06:24 256 ZLT0534d.TMP 6 Datei(en) 4.113.038 Bytes 0 Verzeichnis(se), 12.117.528.576 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC0-6883 Verzeichnis von C:\WINDOWS 21.09.2005 15:18 1.490 win.ini 21.09.2005 08:33 6.400 balloon.wav 21.09.2005 06:24 0 0.log 21.09.2005 06:23 2.048 bootstat.dat 20.09.2005 21:07 32.626 SchedLgU.Txt 20.09.2005 18:51 216 wiadebug.log 20.09.2005 17:40 47 wiaservc.log 20.09.2005 08:27 1.495.118 ntbtlog.txt 10.09.2005 14:50 306 QTW.INI 07.09.2005 20:09 486.657 DirectX.log 07.09.2005 20:06 734.093 setupapi.log 07.09.2005 20:04 1.409 QTFont.for 07.09.2005 20:04 54.156 QTFont.qfn 07.09.2005 12:47 32 pavsig.txt 23.08.2005 01:18 3.567 vinto.dat 09.08.2005 05:23 197.755 sorvy.txt 08.07.2005 14:58 2.479 mgxoschk.ini 08.07.2005 14:27 0 bibel.ini 05.07.2005 08:32 197 wmsetup.log 03.07.2005 17:32 179 CSPLAYER.INI 03.07.2005 16:55 60 RESULT.QTW 03.07.2005 16:54 231 SYSINI.QTW 03.07.2005 16:54 1.391 WININI.QTW 02.06.2005 17:28 4.616 ODBCINST.INI 21.02.2005 12:16 0 toolbar.exe 27.12.2004 00:25 0 iPlayer.INI 15.12.2004 14:32 3.038 tm.ini 05.12.2004 17:34 35 tdf.dii 30.11.2004 21:01 108 atarigo.ini 28.11.2004 19:05 6.426 Windows Update.log 25.11.2004 20:05 159 wininit.ini 22.11.2004 20:30 849 wincmd.ini 03.08.2004 19:58 16 ka.ini 17.07.2004 11:03 585 videoimp.ini 12.06.2004 11:48 882 TSC.ini 12.06.2004 10:44 675.501 tsc.ptn 12.06.2004 10:44 508.068 tsc.exe 12.06.2004 10:44 71.749 HCExtOutput.dll 12.06.2004 10:44 1.036.800 vsapi32.dll 12.06.2004 10:44 43.008 BPMNT.dll 12.06.2004 10:44 8.791.546 LPT$VPN.903 12.06.2004 10:44 8.791.546 VPTNFILE.903 12.06.2004 10:42 507.904 TMUPDATE.DLL 12.06.2004 10:42 69.689 UNZIP.DLL 12.06.2004 10:42 286.720 PATCH.EXE 03.06.2004 20:05 8.829 KB835732.log 03.06.2004 20:05 10.298 xpsp1hfm.log 03.06.2004 20:05 21.793 comsetup.log 03.06.2004 20:05 11.470 ntdtcsetup.log 03.06.2004 20:05 71.244 iis6.log 03.06.2004 20:05 18.602 tsoc.log 03.06.2004 20:05 1.355 imsins.log 03.06.2004 20:05 1.727 msgsocm.log 03.06.2004 20:05 1.701 ocmsn.log 03.06.2004 20:05 20.257 ocgen.log 03.06.2004 20:05 30.087 FaxSetup.log 03.06.2004 20:05 15.660 msmqinst.log 02.06.2004 12:59 243 KL_FFK.INI 02.06.2004 10:47 587 MTB40.INI 02.06.2004 10:47 0 asym.ini 18.05.2004 13:15 65 wdz4.ini 15.05.2004 07:44 0 test 15.05.2004 07:44 0 mstasks1.exe 15.05.2004 07:44 0 mstaskss.exe 15.05.2004 07:44 0 msstasks.exe 15.05.2004 07:44 0 dlm.html 15.05.2004 07:44 0 dl.html 06.05.2004 17:17 88 Bibi_Tina6.ini 24.03.2004 18:22 99.328 runtsckl.exe 17.02.2004 14:49 0 PROTOCOL.INI 17.02.2004 14:49 69 schreib2.ini 12.02.2004 12:30 137 uno.ini 18.01.2004 21:40 189 INSTALL.LOG 03.01.2004 15:38 316.640 WMSysPr9.prx 31.12.2003 13:26 90 SilentReboot.log 31.12.2003 13:16 90 MSILog.txt 21.12.2003 10:40 23 err.txt 06.11.2003 20:18 623 Edofma.INI 28.09.2003 10:50 933 eReg.dat 23.09.2003 21:08 391 ULEAD32.INI 23.09.2003 21:06 33 mtwm2.ini 19.09.2003 12:16 170.447 setupact.log 17.09.2003 12:57 6.805 KB824146.log 17.09.2003 12:57 1.374 imsins.BAK 06.09.2003 18:46 299.552 WMSysPrx.prx 17.08.2003 15:01 2.865 Ascd_tmp.ini 15.08.2003 20:16 249.856 Setup1.exe 15.08.2003 20:16 73.216 ST6UNST.EXE 15.08.2003 19:47 15.298 Meister.acl 15.08.2003 19:35 25 mixerdef.ini 15.08.2003 19:33 26 CMCDPLAY.INI 15.08.2003 17:35 16.774 KB823980.log 15.08.2003 17:14 0 Sti_Trace.log 15.08.2003 17:12 1.348 regopt.log 15.08.2003 17:12 231 system.ini 15.08.2003 17:03 2.441 tonlinst.ini 15.08.2003 17:02 11.982 TOHELP4.ISU 15.08.2003 17:01 94.654 TOSO40.ISU 15.08.2003 16:52 636 ODBC.INI 15.08.2003 16:31 820 OEWABLog.txt 15.08.2003 16:30 674.594 setuplog.txt 15.08.2003 16:28 8.192 REGLOCS.OLD 15.08.2003 16:27 1.246 setuperr.log 15.08.2003 16:24 0 control.ini 15.08.2003 16:23 749 WindowsShell.Manifest 15.08.2003 16:19 1.060 sessmgr.setup.log 15.08.2003 16:19 37 vbaddin.ini 15.08.2003 16:19 36 vb.ini 15.08.2003 16:18 128 DtcInstall.log 16.06.2003 16:57 5.168.440 DS9.scr 28.05.2003 16:40 69.300 Unnero.cfg 06.05.2003 13:41 1.171.456 Unnero.exe 16.03.2003 00:15 90.112 unvise32.exe 01.11.2002 16:17 256 aucfg.ini 15.10.2002 14:29 77.824 loadhttp.dll 04.07.2002 15:05 269 tmupdate.ini 18.01.2002 19:12 112 ActiveSkin.INI 14.12.2001 13:34 164.864 patchw32.dll 07.12.2001 22:32 184.320 W2KSetup.exe 07.12.2001 17:24 1.216.512 Mixer.dat 07.12.2001 17:24 1.216.512 Mixer.exe 22.10.2001 19:02 122.880 cmuninst.dat 22.10.2001 19:01 122.880 cmuninst.exe 18.08.2001 14:00 2 desktop.ini 18.08.2001 14:00 17.362 Rhododendron.bmp 18.08.2001 14:00 82.944 clock.avi 18.08.2001 14:00 1.405 msdfmap.ini 18.08.2001 14:00 1.272 Blaue Spitzen 16.bmp 18.08.2001 14:00 15.872 TASKMAN.EXE 18.08.2001 14:00 67.072 NOTEPAD.EXE 18.08.2001 14:00 257.568 winhelp.exe 18.08.2001 14:00 18.944 vmmreg32.dll 18.08.2001 14:00 26.680 F„cher.bmp 18.08.2001 14:00 65.978 Seifenblase.bmp 18.08.2001 14:00 65.832 Santa Fe-Stuck.bmp 18.08.2001 14:00 26.647 hh.exe 18.08.2001 14:00 48.680 winnt.bmp 18.08.2001 14:00 34.818 wmprfDEU.prx 18.08.2001 14:00 271.872 winhlp32.exe 18.08.2001 14:00 94.800 twain.dll 18.08.2001 14:00 46.592 twain_32.dll 18.08.2001 14:00 49.680 twunk_16.exe 18.08.2001 14:00 25.600 twunk_32.exe 18.08.2001 14:00 9.522 Zapotek.bmp 18.08.2001 14:00 48.680 winnt256.bmp 18.08.2001 14:00 17.336 Angler.bmp 18.08.2001 14:00 26.582 Granit.bmp 18.08.2001 14:00 16.730 Feder.bmp 18.08.2001 14:00 141.312 regedit.exe 18.08.2001 14:00 65.954 Pr„riewind.bmp 18.08.2001 14:00 80 explorer.scf 18.08.2001 14:00 17.062 Kaffeetasse.bmp 18.08.2001 14:00 1.004.032 explorer.exe 18.08.2001 14:00 707 _default.pif 26.07.2001 15:35 32.768 WSUtil.exe 16.07.2001 04:54 545 ARJ.PIF 16.07.2001 04:54 545 LHA.PIF 16.07.2001 04:54 545 NOCLOSE.PIF 16.07.2001 04:54 545 PKUNZIP.PIF 16.07.2001 04:54 545 PKZIP.PIF 16.07.2001 04:54 545 RAR.PIF 16.07.2001 04:54 545 UC.PIF 15.02.2001 00:00 91.648 osl364mi.dll 15.02.2001 00:00 109.568 vos364mi.dll 15.02.2001 00:00 287.744 uno364mi.dll 10.11.1999 12:05 86.016 unvise32qt.exe 23.07.1999 13:46 116 AuHCcup1.ini 23.07.1999 10:53 129.536 AuHCcup1.dll 26.05.1999 09:46 212.480 pcdlib32.dll 17.11.1998 12:44 328.704 IsUn0407.exe 29.10.1998 16:45 306.688 IsUninst.exe 11.02.1998 13:01 182.528 PI.EXE 30.01.1998 18:05 56.832 W50INST.EXE 01.03.1997 04:00 905 INSTALL.000 15.11.1996 00:00 15.298 MSO97.ACL 06.11.1996 13:05 302.592 unin0407.exe 05.11.1996 16:13 299.008 uninst.exe 26.08.1996 02:12 36.412 VIEWENU.HLP 26.08.1996 02:12 107.008 PLAY32.EXE 26.08.1996 02:12 43.875 MCENU.HLP 26.08.1996 02:12 93.184 VIEW32.EXE 26.08.1996 02:12 67.415 PLAYENU.HLP 26.08.1996 02:12 2.061.312 QT32INST.EXE 26.08.1996 02:12 169.472 QTW32DEL.EXE 26.08.1996 02:12 10.112 READQT32.WRI 26.08.1996 02:12 881.787 SAMPLE.MOV 15.07.1996 11:35 249.072 UNINST16.EXE 08.02.1996 17:06 247.296 UN160407.EXE 03.03.1995 00:00 6.464 ODBCADM.EXE 189 Datei(en) 44.679.655 Bytes 0 Verzeichnis(se), 12.117.524.480 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0CC0-6883 Verzeichnis von C:\ 21.09.2005 17:04 0 sys.txt 21.09.2005 17:03 9.447 system.txt 21.09.2005 17:03 527 systemtemp.txt 21.09.2005 17:02 101.549 system32.txt 21.09.2005 16:33 133 log.txt 21.09.2005 06:23 805.306.368 pagefile.sys 07.09.2005 09:34 144 TDSLCheck.txt 30.07.2005 14:21 4.728 mxfilerelatedcache.mxc2 08.01.2005 16:43 274 m00.exe 19.02.2004 21:10 125 I.HTM 04.02.2004 19:56 1.795 Breed.Log 16.01.2004 10:39 307.200 ffastunT.ffl 14.01.2004 20:29 4.379 ffastun.ffa 14.01.2004 20:29 159.744 ffastun.ffo 14.01.2004 20:29 2.076.672 ffastun0.ffx 14.01.2004 20:29 532.480 ffastun.ffl 03.01.2004 19:50 936.598 medien fr teac.bmp 26.10.2003 14:57 1.091 INSTALL.LOG 15.08.2003 16:24 0 IO.SYS 15.08.2003 16:24 0 CONFIG.SYS 15.08.2003 16:24 0 AUTOEXEC.BAT 15.08.2003 16:24 0 MSDOS.SYS 15.08.2003 16:15 194 boot.ini 18.08.2001 14:00 4.952 bootfont.bin 18.08.2001 14:00 45.124 NTDETECT.COM 18.08.2001 14:00 224.032 ntldr 24.05.2001 13:59 162.304 UNWISE.EXE 27 Datei(en) 809.879.860 Bytes 0 Verzeichnis(se), 12.117.528.576 Bytes frei Bei f-secure-Beta Trial finde ich nur dies: csvmx.exe loadctr32.exe ntfsnlpa.exe wbemtest.exe Sonst ist da nichts :-( |
|
|
|
|
|
|
21.09.2005, 20:58
...neu hier
Beiträge: 1 |
#18
Hallo!
Ich habe genau dasselbe Problem mit diesen beiden Trojanern. Habe jetzt, wie gewünscht, keinen neuen Thread angefangen. Hoffe das auch mir hier geholfen werden kann. Beste Grüße Jan |
|
|
|
|
|
|
22.09.2005, 01:39
Ehrenmitglied
Beiträge: 29434 |
#19
Hallo@Ela1969
langsam kommen wir der Sache schon naeher, aber bitte, kannst du nicht alles auf einmal abarbeiten???? Es kommt alles so troepfchenweise  Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach den Check klicke --> next (suche die textdatei vom scan auf dem Desktop und poste sie mir) rkfiles.zip http://skads.org/special/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/softwar.../savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt winpfind http://virus-protect.org/winpfind.html silentrunners http://virus-protect.org/silentrunner.html http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.09.2005, 01:43
Ehrenmitglied
Beiträge: 29434 |
#20
Hallo@Jan3055
Poste das Log vom HijackThis und alles, was ich von @Ela1969 erbeten habe, ich kann sehr gut die PC+s hier reinigen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.09.2005, 09:14
Member
Themenstarter Beiträge: 16 |
#21
Zitat Download f-secure-Beta TrialAuch nach mehreren Versuchen finde ich nur dies: csvmx.exe loadctr32.exe ntfsnlpa.exe wbemtest.exe Zitat rkfiles.zipDa kommt kein Dos-Fenster, in dem ich irgendetwas machen könnte. Es kommt ganz normal der Desktop, nur in anderen Farben und in den Ecken steht jeweils: abgesicherter Modus. Der Link: tu-berlin usw. funktioniert nicht. Zitat winpfindKann ich nicht öffnen! Zitat silentrunnershttp://virus-protect.org/silentrunner.html kann ich nicht öffnen! |
|
|
|
|
|
|
22.09.2005, 10:59
Ehrenmitglied
Beiträge: 29434 |
#22
Ela1969
•KillBox http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\csvmx.exe C:\WINDOWS\system32\loadctr32.exe C:\WINDOWS\system32\ntfsnlpa.exe C:\WINDOWS\system32\hclean32.exe C:\WINDOWS\system32\msexnpfi.exe C:\WINDOWS\balloon.wav C:\WINDOWS\test C:\WINDOWS\vinto.dat C:\WINDOWS\mstasks1.exe C:\WINDOWS\toolbar.exe C:\WINDOWS\mstaskss.exe C:\WINDOWS\msstasks.exe C:\WINDOWS\dlm.html C:\WINDOWS\dl.html c:\m00.exe PC neustarten du wirst jetzt bitte den Firefox installieren, mit diesem Browser kommst du auf meine Seite #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html -------------------------------------------------------------------------- Lade: rkfiles.zip http://skads.org/special/rkfiles.zip - entpacken gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml - Doppelklick(Ausfuehren)--rkfiles.bat -- warten bis sich das DOS-Fenster schliesst--- poste C:\log.txt winpfind http://virus-protect.org/winpfind.html silentrunners http://virus-protect.org/silentrunner.html http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. Zitat # %Windir%\toolbar.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.09.2005, 14:28
Member
Themenstarter Beiträge: 16 |
#23
Hi Sabina!
Ich hoffe, ich konnte diesmal besser folgen. Hier die Ergebnisse: Zitat Sabina postete |
|
|
|
|
|
|
22.09.2005, 15:11
Ehrenmitglied
Beiträge: 29434 |
#24
Start-->Ausfuehren--> regedit
bearbeiten--> suchen--> csiru.exe Host msmsgs.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Host"<-- loeschen HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "notepad.exe" = "msmsgs.exe" <-- loeschen HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "Shell" = "explorer.exe, ---> nur das rausloeschen -->msmsgs.exe" "System" = "csiru.exe" <-- loeschen Zitat HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\loesche mit der Killbox: C:\WINDOWS\system32\msexnpfi.exe <---die sollte eigentlich schon geloescht sein.....(siehe oben) C:\WINDOWS\System32\dmqfg.exe C:\WINDOWS\System32\msmsgs.exe C:\WINDOWS\System32\csiru.exe PC neustarten smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread f-secure-Beta Trial noch mal scannen (da erscheint eine txt-Datei, kopiere sie ab und poste sie) scanne mit kaspersky und berichte vom Scan http://virus-protect.org/onlinescan.html noch mal den Silentrunner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.09.2005, 18:02
Member
Themenstarter Beiträge: 16 |
#25
Welchen File Name soll ich denn bei Kaspersky eingeben?
smitRem log file version 2.4 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Wininet.dll ~~~ CLEAN!  09/22/05 17:41:14 [Info]: BlackLight Engine 1.0.23 initialized 09/22/05 17:41:14 [Info]: OS: 5.1 build 2600 () 09/22/05 17:41:14 [Note]: 4019 0 09/22/05 17:41:14 [Note]: 4019 1 09/22/05 17:41:16 [Note]: 4019 2 09/22/05 17:41:16 [Note]: 4019 3 09/22/05 17:41:16 [Note]: 4019 4 09/22/05 17:41:16 [Note]: 4005 0 09/22/05 17:41:21 [Note]: 4006 0 09/22/05 17:41:22 [Note]: 4011 976 09/22/05 17:41:22 [Note]: FSRAW library version 1.7.1011 09/22/05 17:44:35 [Note]: 4007 0 "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Host" = (empty string) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found] "CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "dmqfg.exe" = "C:\WINDOWS\System32\dmqfg.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "delfile" = "C:\delfiles.cmd" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "Shell" = "explorer.exe, msmsgs.exe" [MS], [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "Meister" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart "Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS] "Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ Missing lines (compared with English-language version): HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 120 seconds, including 10 seconds for message boxes) |
|
|
|
|
|
|
22.09.2005, 18:08
Ehrenmitglied
Beiträge: 29434 |
#26
du hast nicht alles korrekt in der Registry geloescht, aber ich erstelle dir eine Datei dafuer, aber erst heute Abend.
mittlerweile loesche: (mit der Killbox) C:\WINDOWS\System32\dmqfg.exe bei Kaspersky sollst du nichts eingeben, du sollst scannen. (Onlinescanner) http://www.kaspersky.com/virusscanner dann bitte den Scanreport abkopieren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.09.2005, 18:28
Member
Themenstarter Beiträge: 16 |
#27
In der Killbox kommt folgender Kommentar:
PendingFileRenameOperations RegistryData has been removed by external process. ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Thursday, September 22, 2005 22:12:34 Operating System: Microsoft Windows XP Professional, (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 22/09/2005 Kaspersky Anti-Virus database records: 141610 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ Scan Statistics: Total number of scanned objects: 68721 Number of viruses found: 3 Number of infected objects: 2 Number of suspicious objects: 5 Duration of the scan process: 5939 sec Infected Object Name - Virus Name C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From emailnotify@ebay.com <emailnotify@ebay.com>][Date Sun, 23 Jan 2005 13:20:35 -0500]/html Suspicious: Trojan-Spy.HTML.Fraud.gen C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From emailnotif@ebay.com <emailnotif@ebay.com>][Date Mon, 31 Jan 2005 14:40:32 -0500]/html Suspicious: Trojan-Spy.HTML.Fraud.gen C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From emailnotif@ebay.de <emailnotif@ebay.de>][Date 16 Feb 2005 13:06:08 -0600]/html Suspicious: Trojan-Spy.HTML.Fraud.gen C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From "eBay" <emailnotif@ebay.com>][Date Mon, 6 Oct 2003 09:31:14 +0200]/html Suspicious: Trojan-Spy.HTML.Fraud.gen C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP176\A0031140.exe Infected: Trojan.Win32.DNSChanger.u C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP198\A0040000.exe Infected: Trojan-Downloader.Win32.Zlob.an Scan process completed. Dieser Beitrag wurde am 22.09.2005 um 22:14 Uhr von Ela1969 editiert.
|
|
|
|
|
|
|
22.09.2005, 23:47
Ehrenmitglied
Beiträge: 29434 |
#28
gehe noch mal in die Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\ explorer.exe, --> msmsgs.exe" (loeschen) Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen (ja klicken) Zitat REGEDIT4dann poste das neue Log vom Silentrunner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.09.2005, 08:04
Member
Themenstarter Beiträge: 16 |
#29
Guten Morgen!
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found] "CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"] "ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found] "CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "Meister" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart "Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS] "Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ Missing lines (compared with English-language version): HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 129 seconds, including 18 seconds for message boxes) |
|
|
|
|
|
|
23.09.2005, 09:36
Ehrenmitglied
Beiträge: 29434 |
#30
das sieht ja schon sehr gut aus
kopiere in die Killbox + loeschen+ PC neustarten C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP176\A0031140.exe C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP198\A0040000.exe Outlook Express\Quarantäne.dbx <--loesche die Mails aus dieser Box (alle, da sie Viren enthalten) mache bitte diesen Scan und berichte http://virus-protect.org/onlinescan.html McAfee FreeScan (Online) + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
du musst das so verstehen, ich sehe mit diesen Logs, alles was auf dem PC ist....
Also brauche ich die
C.\Windows\System32\
C:\Windows\
C:\Windows\temp.....
C:\
Zitat
Download f-secure-Beta Trialhttp://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach den Check klicke --> next
(suche die textdatei vom scan auf dem Desktop und poste sie mir)
__________
MfG Sabina
rund um die PC-Sicherheit