TR/Qhost.QR TR/Click.526 Wie kann man die entfernen?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
23.09.2005, 12:38
Member
Themenstarter Beiträge: 16 |
||
|
||
23.09.2005, 12:43
Ehrenmitglied
Beiträge: 29434 |
#32
Hallo@Ela1969
es duerfte alles sauber sein. Da hast du zwar tuechtig zu tun gehabt, aber es hat sich gelohnt. Alles Gute fuer dich + PC Damit du hier nicht Dauerkunde wirst, mache unbedingt die WindowsUpdates, lade SP2 !!!!!!!!!!! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.09.2005, 13:05
Member
Themenstarter Beiträge: 16 |
#33
Es ist schon wieder da....:-(((((((((((((
Dieser Beitrag wurde am 24.09.2005 um 12:59 Uhr von Ela1969 editiert.
|
|
|
||
03.12.2005, 22:55
Member
Beiträge: 45 |
#34
Hallo, ihr Lieben!
Habe mich gerade neu im Forum angemeldet, da ich nahezu gleiches Problem mit diesen miesen drei Trojanern habe. AV erkennt sie, ist aber scheinbar machtlos. Ich weiß, daß ihr das Thema schon öfter durchgekaut habt. Es wäre trotzdem nett, wenn ihr mir auch noch helfen könntet, damit fertig zu werden. Ich weiß nicht, ob die Problemlösung für alle Rechner gleich ist oder variiert. Deswegen mache ich schon einmal das, womit irgendwie alle anfangen und hoffe, daß mir jemand hilft. Ich poste ein hijack-log. Ich wäre Euch sehr dankbar für Hilfe. Logfile of HijackThis v1.99.1 Scan saved at 22:55:42, on 03.12.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wz998f\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - {28B08834-E2C2-EB8B-9110-823088C80981} - driver32.dll (file missing) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing) O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file) O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\Programme\Accoona\atoolbar.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c24.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{56D4F48F-2829-4386-A039-12DD2C2532FD}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe __________ Dieser Satz kein Verb. |
|
|
||
04.12.2005, 00:11
Ehrenmitglied
Beiträge: 29434 |
#35
Mocca
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R3 - URLSearchHook: (no name) - {28B08834-E2C2-EB8B-9110-823088C80981} - driver32.dll (file missing) O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing) O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file) O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\Programme\Accoona\atoolbar.dll (file missing) O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c24.cab PC neustarten wende CleanUp an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.12.2005, 22:55
Member
Beiträge: 45 |
#36
Erst einmal Danke für die prompte Hilfe.
Ich hoffe, ich habs korrekt ausgeführt. Auf gehts: Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\WINDOWS\system32 04.12.2005 22:39 35.978 vsconfig.xml 02.12.2005 18:01 2.206 wpa.dbl 29.11.2005 22:34 5.618 jupdate-1.5.0_05-b05.log 26.11.2005 15:46 16.832 amcompat.tlb 26.11.2005 15:46 23.392 nscompat.tlb 25.11.2005 00:40 4.212 zllictbl.dat 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 31.10.2005 22:41 109.400 FNTCACHE.DAT 31.10.2005 00:09 305.318 perfh009.dat 31.10.2005 00:09 37.760 perfc009.dat 31.10.2005 00:09 45.672 perfc007.dat 31.10.2005 00:09 309.810 perfh007.dat 31.10.2005 00:09 705.468 PerfStringBackup.INI 23.10.2005 18:52 176.167 rmoc3260.dll 23.10.2005 18:51 5.632 pndx5032.dll 23.10.2005 18:51 6.656 pndx5016.dll 23.10.2005 18:51 278.528 pncrt.dll 21.10.2005 10:46 0 winctrl16.exe 21.10.2005 10:45 0 winctrl32.exe 21.10.2005 10:45 0 winctrl64.exe 06.10.2005 01:42 634.880 NCTAudioEditor2.dll 06.10.2005 01:42 522.752 NCTAudioTransform2.dll 06.10.2005 01:42 467.968 NCTAudioRecord2.dll 06.10.2005 01:42 467.456 NCTAudioPlayer2.dll 06.10.2005 01:42 877.568 NCTAudioFile2.dll 06.10.2005 01:42 966.144 NCTAudioInformation2.dll 06.10.2005 01:42 237.568 lame_enc.dll 26.09.2005 18:18 25.065 wmpscheme.xml 24.09.2005 08:16 14 dpwtpaxp.dll 24.09.2005 08:16 21 dpwtdaxp.dll 24.09.2005 08:16 12 spwtpaxp.dll 14.09.2005 20:17 319.488 pxdrv.dll 14.09.2005 20:17 462.848 px.dll 14.09.2005 20:17 28.672 vxblock.dll 14.09.2005 20:17 286.720 pxwave.dll 14.09.2005 20:17 143.360 pxmas.dll 14.09.2005 20:17 53.248 pxhpinst.exe 29.08.2005 21:57 12.067 msblank32.html 29.08.2005 21:56 6.144 trapi12.exe 26.08.2005 18:14 127.078 javaws.exe 26.08.2005 18:14 49.265 jpicpl32.cpl 26.08.2005 15:55 49.250 javaw.exe 26.08.2005 15:55 49.248 java.exe 04.07.2005 19:49 4 micr0st.dll 13.02.2005 13:10 2.272 w95inf16.dll 13.02.2005 13:10 4.608 w95inf32.dll __________ Dieser Satz kein Verb. Dieser Beitrag wurde am 04.12.2005 um 23:04 Uhr von Mocca editiert.
|
|
|
||
04.12.2005, 23:29
Ehrenmitglied
Beiträge: 29434 |
#37
Mocca
die Daten aus dem 19.Jahrhundert interessieren mich nicht Es stand doch geschrieben....3 Monate reichen... Und es sind 4 Textdateien kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2005, 00:24
Member
Beiträge: 45 |
#38
Aahh...jetzt ist mir auch klar warum er die anderen textdateien nicht mit hinein kopiert hat. die erste war schon so lang, daß er kein bock mehr auf die anderen Kopien hatte. hier also noch einmal die 4 kopien ...und auch nur die letzten drei monate
Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\WINDOWS\system32 04.12.2005 22:39 35.978 vsconfig.xml 02.12.2005 18:01 2.206 wpa.dbl 29.11.2005 22:34 5.618 jupdate-1.5.0_05-b05.log 26.11.2005 15:46 16.832 amcompat.tlb 26.11.2005 15:46 23.392 nscompat.tlb 25.11.2005 00:40 4.212 zllictbl.dat 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 31.10.2005 22:41 109.400 FNTCACHE.DAT 31.10.2005 00:09 305.318 perfh009.dat 31.10.2005 00:09 37.760 perfc009.dat 31.10.2005 00:09 45.672 perfc007.dat 31.10.2005 00:09 309.810 perfh007.dat 31.10.2005 00:09 705.468 PerfStringBackup.INI 23.10.2005 18:52 176.167 rmoc3260.dll 23.10.2005 18:51 5.632 pndx5032.dll 23.10.2005 18:51 6.656 pndx5016.dll 23.10.2005 18:51 278.528 pncrt.dll 21.10.2005 10:46 0 winctrl16.exe 21.10.2005 10:45 0 winctrl32.exe 21.10.2005 10:45 0 winctrl64.exe 06.10.2005 01:42 634.880 NCTAudioEditor2.dll 06.10.2005 01:42 522.752 NCTAudioTransform2.dll 06.10.2005 01:42 467.968 NCTAudioRecord2.dll 06.10.2005 01:42 467.456 NCTAudioPlayer2.dll 06.10.2005 01:42 877.568 NCTAudioFile2.dll 06.10.2005 01:42 966.144 NCTAudioInformation2.dll 06.10.2005 01:42 237.568 lame_enc.dll 26.09.2005 18:18 25.065 wmpscheme.xml 24.09.2005 08:16 14 dpwtpaxp.dll 24.09.2005 08:16 21 dpwtdaxp.dll 24.09.2005 08:16 12 spwtpaxp.dll 14.09.2005 20:17 319.488 pxdrv.dll 14.09.2005 20:17 462.848 px.dll 14.09.2005 20:17 28.672 vxblock.dll 14.09.2005 20:17 286.720 pxwave.dll 14.09.2005 20:17 143.360 pxmas.dll 14.09.2005 20:17 53.248 pxhpinst.exe 29.08.2005 21:57 12.067 msblank32.html 29.08.2005 21:56 6.144 trapi12.exe 26.08.2005 18:14 127.078 javaws.exe 26.08.2005 18:14 49.265 jpicpl32.cpl 26.08.2005 15:55 49.250 javaw.exe 26.08.2005 15:55 49.248 java.exe Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 04.12.2005 23:54 233.508 MSI4d1b1.LOG 04.12.2005 22:45 233.452 MSI5b448.LOG 04.12.2005 22:45 233.452 MSI4ec83.LOG 3 Datei(en) 700.412 Bytes 0 Verzeichnis(se), 13.798.756.352 Bytes frei Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\WINDOWS 04.12.2005 22:42 6.400 balloon.wav 04.12.2005 22:39 50 wiaservc.log 04.12.2005 22:39 159 wiadebug.log 04.12.2005 22:39 2.048 bootstat.dat 04.12.2005 22:38 32.622 SchedLgU.Txt 03.12.2005 23:17 306 QTW.ini 02.12.2005 01:09 47 winamp.ini 01.12.2005 18:43 114 ALBUM.INI 01.12.2005 00:06 10.240 Thumbs.db 30.11.2005 21:07 496 win.ini 30.11.2005 21:07 227 system.ini 29.11.2005 22:35 8.107 mozver.dat 28.11.2005 00:45 34 cdplayer.ini 26.11.2005 15:45 316.640 WMSysPr9.prx 26.11.2005 15:11 20 powerplayer.ini 19.11.2005 03:54 657 explorer.exe.manifest 12.11.2005 23:32 921.654 GreenSaver.bmp 07.11.2005 22:39 98 acc1.txt 07.11.2005 22:39 98 ncc1.txt 06.11.2005 01:31 48.128 AKDeInstall.exe 06.11.2005 01:30 19 geo.ini 05.11.2005 23:08 100.482 UninstallThunderbird.exe 04.11.2005 23:24 107.132 UninstallFirefox.exe 26.09.2005 17:52 10 smdat32m.sys 24.09.2005 08:24 21 dpwtddxp.dll 24.09.2005 08:16 14 dpwtpdxp.dll 22.09.2005 15:52 4 msoffice.ini Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\ 05.12.2005 00:23 0 sys.txt 05.12.2005 00:22 5.709 system.txt 05.12.2005 00:22 397 systemtemp.txt 05.12.2005 00:20 100.486 system32.txt 04.12.2005 22:39 267.964.416 hiberfil.sys 04.12.2005 22:39 367.001.600 pagefile.sys 30.11.2005 21:07 194 boot.ini 30.11.2005 20:46 106 ps_system_Zeit.txt So... __________ Dieser Satz kein Verb. |
|
|
||
05.12.2005, 00:27
Ehrenmitglied
Beiträge: 29434 |
#39
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\winctrl16.exe C:\WINDOWS\system32\winctrl32.exe C:\WINDOWS\system32\winctrl64.exe C:\WINDOWS\system32\trapi12.exe C:\WINDOWS\balloon.wav __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2005, 00:51
Member
Beiträge: 45 |
#40
winctrl16.exe und winctrl32.exe hat er leider nicht angenommen, da größer als 10MB...
This is a report processed by VirusTotal on 12/05/2005 at 00:47:50 (CET) after scanning the file "trapi12.exe" file. Antivirus Version Update Result AntiVir 6.32.1.63 12.05.2005 no virus found Avast 4.6.695.0 12.03.2005 no virus found AVG 718 12.02.2005 no virus found Avira 6.32.1.63 12.05.2005 no virus found BitDefender 7.2 12.04.2005 no virus found CAT-QuickHeal 8.00 12.03.2005 (Suspicious) - DNAScan ClamAV devel-20051108 12.04.2005 no virus found DrWeb 4.33 12.04.2005 no virus found eTrust-Iris 7.1.194.0 12.04.2005 no virus found eTrust-Vet 11.9.1.0 12.02.2005 no virus found Fortinet 2.48.0.0 12.03.2005 suspicious F-Prot 3.16c 12.02.2005 no virus found Ikarus 0.2.59.0 12.02.2005 no virus found Kaspersky 4.0.2.24 12.05.2005 no virus found McAfee 4642 12.02.2005 no virus found NOD32v2 1.1311 12.02.2005 no virus found Norman 5.70.10 12.02.2005 no virus found Panda 8.02.00 12.04.2005 Trj/Agent.AJZ Sophos 4.00.0 12.05.2005 no virus found Symantec 8.0 12.04.2005 no virus found TheHacker 5.9.1.048 12.04.2005 no virus found VBA32 3.10.5 12.04.2005 no virus found This is a report processed by VirusTotal on 12/05/2005 at 00:49:56 (CET) after scanning the file "balloon.wav" file. Antivirus Version Update Result AntiVir 6.32.1.63 12.05.2005 no virus found Avast 4.6.695.0 12.03.2005 no virus found AVG 718 12.02.2005 no virus found Avira 6.32.1.63 12.05.2005 no virus found BitDefender 7.2 12.04.2005 no virus found CAT-QuickHeal 8.00 12.03.2005 no virus found ClamAV devel-20051108 12.04.2005 no virus found DrWeb 4.33 12.04.2005 no virus found eTrust-Iris 7.1.194.0 12.04.2005 no virus found eTrust-Vet 11.9.1.0 12.02.2005 no virus found Fortinet 2.48.0.0 12.03.2005 no virus found F-Prot 3.16c 12.02.2005 no virus found Ikarus 0.2.59.0 12.02.2005 no virus found Kaspersky 4.0.2.24 12.05.2005 no virus found McAfee 4642 12.02.2005 no virus found NOD32v2 1.1311 12.02.2005 no virus found Norman 5.70.10 12.02.2005 no virus found Panda 8.02.00 12.04.2005 no virus found Sophos 4.00.0 12.05.2005 no virus found Symantec 8.0 12.04.2005 no virus found TheHacker 5.9.1.048 12.04.2005 no virus found VBA32 3.10.5 12.04.2005 no virus found Gruß, Moc __________ Dieser Satz kein Verb. |
|
|
||
05.12.2005, 00:54
Ehrenmitglied
Beiträge: 29434 |
#41
Zitat \%CurrentFolder%\1.datKILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\winctrl16.exe C:\WINDOWS\system32\winctrl32.exe C:\WINDOWS\system32\winctrl64.exe C:\WINDOWS\system32\trapi12.exe C:\WINDOWS\system32\msblank32.html pc neustarten suche/loesche: 1.dat 2.dat 3.dat scanne und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2005, 01:47
Member
Beiträge: 45 |
#42
Hallo nochmal. hab alles so weit gemacht wie beschrieben. der cureit scan fiel anschließend negativ aus, also auch kein bericht zu posten....meinen sie der patient ist überm berg, Frau Doktor oder operieren wir weiter?
gruß, moc P.S. das zitat da oben mit dem link hab ich nicht geschnallt. was sollte ich damit machen? __________ Dieser Satz kein Verb. |
|
|
||
05.12.2005, 11:48
Ehrenmitglied
Beiträge: 29434 |
#43
das Zitat oben links ist die verseuchung auf deinem PC
Troj/Dloader-RA ist ein Trojaner für die Windows-Plattform. Troj/Dloader-RA enthält Funktionalität zum Herunterladen, Installieren und Starten neuer Software. Wenn er erstmals gestartet wird, kopiert sich Troj/Dloader-RA nach <System>\popcorn72.exe und erstellt folgende Dateien: \%CurrentFolder%\1.dat \%CurrentFolder%\2.dat \%CurrentFolder%\3.dat <System>\msblank.html <System>\winctrl16.exe <System>\winctrl32.exe <System>\winctrl64.exe Zitat Der folgende Registrierungseintrag wird erstellt, damit popcorn72.exe beim Start ausgeführt wird:ich hoffe, dass nun alles geloescht ist, dennoch mache noch einen Onlinescan mit Panda und poste den scanbericht http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.12.2005, 23:48
Member
Beiträge: 45 |
#44
Hallo Sabina,
habe unter http://www.sophos.de/virusinfo/analyses/trojdloaderra.html folgende Virenerkennungsdatei runtergeladen: mytob-dw.ide Problem: Konnte ide-Datei nicht starten. Nichts desto trotz habe ich einen scan mit panda versucht. Der sagt mir jedoch, er funktioniert nur mit ie ab 5.0. mein standardbrowser ist allerdings firefox. Mein AntiVirGuard hat mir mittlerweile wieder die üblichen Trojaner gemeldet und balloon macht sich auch regelmäßig auf. Was tun? Liebe Grüße, Moc __________ Dieser Satz kein Verb. |
|
|
||
06.12.2005, 10:20
Ehrenmitglied
Beiträge: 29434 |
#45
Mocca
hst du wirklich alles geleoscht, was ich rausgesucht hatte ? Ueberpruefe es mit datfindbat, ob die Dateien noch da sind. Zitat C:\WINDOWS\system32\winctrl16.exescanne und poste hier den scanbericht http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 12:39:46, on 23.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Meister\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: Shell=
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4587/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B14074F-7987-4ABA-B1CB-F01151E79ACC}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe