TR/Qhost.QR TR/Click.526 Wie kann man die entfernen?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
03.01.2006, 01:23
Ehrenmitglied
Beiträge: 29434 |
||
|
||
03.01.2006, 01:56
Member
Beiträge: 45 |
#62
Hallo Sabina!
Ich weiß, daß noch zwei Berichte fehlen.Hab deswegen Zwischenbericht darübergeschrieben. Hab den ersten Scanbericht, die C:\Windows\System32 leider unterwegs verloren. Kann dir aber dazu sagen, daß er in hclean.exe einen trojaner entdeckt hat und nach seinen Angaben gelöscht hat. Bei den folgenden Scans von C:\Windows und C: ist der Trojaner auch nicht mehr aufgetaucht. Der letzte Scan von C verweist, glaube ich, auf Backup-Dateien des Trojaners in hclean.exe. Ich hoffe, daß trotz fehlendem ersten Scan ein Weiterarbeiten möglich ist. Hier der fehlende Scan von C: 01/03/2006 01:17:11 Options: "C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [Betriebssystem] Scanning C:\*.* C:\escheck\ECBackup\a0022116.exe.001.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0025740.exe.001.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0027442.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0027452.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0027476.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0027489.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0028230.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0028399.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0028413.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\a0028425.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\csbgd.exe.bkp ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\escheck\ECBackup\favme.exe.bkp ... Found potentially unwanted program Generic Adware.c. The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.001.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.002.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.003.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.004.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.005.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.006.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.007.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.008.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.009.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.010.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.011.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.012.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.013.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.014.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.015.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\escheck\ECBackup\hclean32.exe.vir.bkp ... Found the Generic MSVC.b trojan !!! The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\A0029445.EXE.VIR ... Found the MultiDropper-NW trojan !!! The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\A0029446.EXE.VIR ... Found potentially unwanted program Generic Adware.c. The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.010\RDSNDIN.EXE.010 ... Found the Spy-Agent.i trojan !!! The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.011\RDSNDIN.EXE.011 ... Found the Spy-Agent.i trojan !!! The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.012\RDSNDIN.EXE.012 ... Found the Spy-Agent.i trojan !!! The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.013\RDSNDIN.EXE.013 ... Found the Spy-Agent.i trojan !!! The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.014\RDSNDIN.EXE.014 ... Found the Spy-Agent.i trojan !!! The file or process has been deleted. C:\Programme\AVPersonal\INFECTED\RDSNDIN.EXE.VIR\RDSNDIN.EXE.VIR ... Found the Spy-Agent.i trojan !!! The file or process has been deleted. C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll\00017b68.EXE ... Found potentially unwanted program Downloader-AGT. The file or process has been deleted. The archive has been deleted. C:\Programme\Gemeinsame Dateien\Synacast\SynaLive\EvID4226Patch.exe\EvID4226Patch.exe ... Found potentially unwanted program Tool-Evid. The file or process has been deleted. C:\Programme\ICQToolbar\toolbaru.inf ... Found potentially unwanted program Adware-Softomate. The file or process has been deleted. Summary report on C:\*.* File(s) Total files: ........... 105203 Clean: ................. 103334 Possibly Infected: ..... 34 Cleaned: ............... 0 Deleted: ............... 39 Non-critical Error(s): 2 Master Boot Record(s): ......... 1 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Time: 00:23.26 Und der Scan von virustotal: This is a report processed by VirusTotal on 01/03/2006 at 01:56:48 (CET) after scanning the file "dpwtpaxp.dll" file. Antivirus Version Update Result AntiVir 6.33.0.70 01.02.2006 no virus found Avast 4.6.695.0 01.02.2006 no virus found AVG 718 01.02.2006 no virus found Avira 6.33.0.70 01.02.2006 no virus found BitDefender 7.2 01.02.2006 no virus found CAT-QuickHeal 8.00 01.02.2006 no virus found ClamAV devel-20051123 01.02.2006 no virus found DrWeb 4.33 01.02.2006 no virus found eTrust-Iris 7.1.194.0 01.01.2006 no virus found eTrust-Vet 12.4.1.0 01.01.2006 no virus found Ewido 3.5 01.02.2006 no virus found Fortinet 2.54.0.0 01.02.2006 no virus found F-Prot 3.16c 01.02.2006 no virus found Ikarus 0.2.59.0 01.02.2006 no virus found Kaspersky 4.0.2.24 01.03.2006 no virus found McAfee 4665 01.02.2006 no virus found NOD32v2 1.1349 01.02.2006 no virus found Norman 5.70.10 12.31.2006 no virus found Panda 9.0.0.4 01.02.2006 no virus found Sophos 4.01.0 01.02.2006 no virus found Symantec 8.0 01.03.2006 no virus found TheHacker 5.9.2.067 01.02.2006 no virus found UNA 1.83 01.02.2006 no virus found VBA32 3.10.5 01.01.2006 no virus found VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. __________ Dieser Satz kein Verb. |
|
|
||
03.01.2006, 16:22
Ehrenmitglied
Beiträge: 29434 |
||
|
||
03.01.2006, 22:24
Member
Beiträge: 45 |
#64
Logfile of HijackThis v1.99.1
Scan saved at 22:24:00, on 03.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\htpatch.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzdbb3\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - O17 - HKLM\System\CCS\Services\Tcpip\..\{56D4F48F-2829-4386-A039-12DD2C2532FD}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe __________ Dieser Satz kein Verb. |
|
|
||
04.01.2006, 01:18
Ehrenmitglied
Beiträge: 29434 |
#65
Mocca
fixe mit dem hijckthis: O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file) O2 - BHO: (no name) - {d262e70a-7841-4a85-9aa1-8d66aa593c89} - (no file) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - O17 - HKLM\System\CCS\Services\Tcpip\..\{56D4F48F-2829-4386-A039-12DD2C2532FD}: NameServer = 195.95.218.18,85.255.112.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252 pc neustarten erstelle eine neue Internetverbindung (denn deine jetzige... vom Wareout gekapert) haben wir geloescht.... --------------------------------------------------------------------- deaktiviere die system wiederherstellung )...wenn alles wieder sauber ist...aktivierst du sie wieder http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html und poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.01.2006, 01:37
Member
Beiträge: 45 |
#66
Dein Auftrag:
scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html funktioniert bei mir nicht....er kann IE nicht finden. Alternativen??? Die anderen Aufgaben konnte ich bewältigen. Die Systemwiederherstellung hatte ich bereits deaktiviert. Die genannten Einträge habe ich mit HijackThis gelöscht. Nach Neustart die neue Internetverbindung eingestellt. Und nochmal HijackThis...Da zeigte sich, daß der Eintrag " O17- HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252 " wieder da war. Hab ich denn nochmal gelöscht. Die dabei erstellte Backup-Datei auf dem Desktop gleich mitgeschreddert. Und nochmal hochgefahren. Beim letzten Logfile von Hijack war sie dann nicht mehr drauf. Hier der Scanreport: Logfile of HijackThis v1.99.1 Scan saved at 02:11:28, on 04.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\htpatch.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ach so, die Systemwiederherstellung habe ich erst mal deaktiviert gelassen, bist du mir grünes Licht gibst. Liebe Grüße, Moc __________ Dieser Satz kein Verb. Dieser Beitrag wurde am 04.01.2006 um 02:22 Uhr von Mocca editiert.
|
|
|
||
04.01.2006, 13:18
Ehrenmitglied
Beiträge: 29434 |
#67
Mocca
wenn der IE nicht funktioniert, sind auch keine Onlinescans moeglich...ich wollte eigentlich dein System nicht unnoetig mit scannern zupflastern, aber nun lade dr.web, scanne und berichte (vielleicht musst du abtippen, was noch gefunden wurde....) http://virus-protect.org/cureit.html dann mache bitte die WindowsUpdates...lade SP2. Die systemwiederherstellung kannst du wieder aktivieren. -------------------------------------------- Dort werden verdächtige Dateien analysiert und an etwa 40 Hersteller von AntiVirus Programmen weitergeleitet, falls sie sich als schädlich herausstellen. So leistest Du einen aktiven Beitrag im Kampf gegen Malware! http://www.malwareupload.com/ Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt. C:\Windows\System32\dpwtpaxp.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.01.2006, 00:40
Member
Beiträge: 45 |
#68
hallo Sabina!
Dr.Web hat nix gefunden. Die Systemwiederherstellung ist wieder aktiv. Ich habe SP2 geladen und zunächst aktiviert. Soll ich die Windows-Firewall eigentlich zusätzlich meiner aktiven ZoneLabs laufen lassen? Bringt das mehr Sicherheit? Macht das Sinn? Hab erstmal die MS Firewall deaktiviert. Will keine Standleitung zu MS aufbauen Wie soll ich das Ding denn einstellen? Was ist mit den Updates? Im Systemtray wandelt jetzt an meinem LAN-Verbindung2-Icon ständig ne gelbe Kugel von links nach rechts und sagt neuerdings "Status:Netzwerkadresse beziehen". Was soll denn das? Fragen über Fragen....Ich hoffe, du kannst mir Rat geben. Übrigens, C:\Windows\System32\dpwtpaxp.dll habe ich zu malware hochgeladen und warte auf Antwort. Vielleicht kannst du mir ja in der Zwischenzeit kurz die Firewall-Geschichte erklären und wie ich sicherheitstechnisch am besten bedient bin. Du kennst mein System besser als ich.... Liebe Grüße, Moc Ergänzung: Da mein ZoneAlarm für so geringe Internetaktivität eigentlich ziemlich heftig ausschlägt, habe ich noch einmal ein HijackThis-Scan gemacht... Ergebnis: Die bereits gelöschte 17 ist wieder da..... O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 195.50.140.114 195.50.140.252 Was tun? Und die letzte Ergänzung: Hab gerade malware-Antwort gelesen: Virencheck² Status Unsere Antwort dpwtpaxp.dll 14 Bytes 05.01.2006 bb533cd2fcb87510875b8b5115ac3d19 Keine Viren gefunden Bearbeitung abgeschlossen Keine Malware! Gruß, Moc __________ Dieser Satz kein Verb. Dieser Beitrag wurde am 05.01.2006 um 01:07 Uhr von Mocca editiert.
|
|
|
||
05.01.2006, 01:16
Ehrenmitglied
Beiträge: 29434 |
#69
das system ist noch nicht sauber...wir muessen was uebersehen haben.....
noch mal: Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread poste die 4 Textdateien http://virus-protect.org/datfindbat.html -------------------------------------------------------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.01.2006, 17:41
Member
Beiträge: 45 |
#70
01/05/06 16:21:32 [Info]: BlackLight Engine 1.0.30 initialized
01/05/06 16:21:32 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/05/06 16:21:34 [Note]: 7019 4 01/05/06 16:21:34 [Note]: 7005 0 01/05/06 16:23:09 [Note]: 7006 0 01/05/06 16:23:09 [Note]: 7011 936 01/05/06 16:23:10 [Note]: FSRAW library version 1.7.1014 01/05/06 17:01:19 [Note]: 7007 0 Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\WINDOWS\system32 05.01.2006 16:14 35.978 vsconfig.xml 04.01.2006 23:59 37.760 perfc009.dat 04.01.2006 23:59 305.318 perfh009.dat 04.01.2006 23:59 309.810 perfh007.dat 04.01.2006 23:59 45.672 perfc007.dat 04.01.2006 23:59 705.468 PerfStringBackup.INI 04.01.2006 23:55 2.206 wpa.dbl 04.01.2006 23:54 249 spupdwxp.log 04.01.2006 23:54 163.528 FNTCACHE.DAT 11.12.2005 01:06 4.212 zllictbl.dat 29.11.2005 22:34 5.618 jupdate-1.5.0_05-b05.log 26.11.2005 15:46 23.392 nscompat.tlb 26.11.2005 15:46 16.832 amcompat.tlb 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 23.10.2005 18:52 176.167 rmoc3260.dll 23.10.2005 18:51 5.632 pndx5032.dll 23.10.2005 18:51 6.656 pndx5016.dll 23.10.2005 18:51 278.528 pncrt.dll 06.10.2005 01:42 237.568 lame_enc.dll 06.10.2005 01:42 467.968 NCTAudioRecord2.dll 06.10.2005 01:42 522.752 NCTAudioTransform2.dll 06.10.2005 01:42 467.456 NCTAudioPlayer2.dll 06.10.2005 01:42 634.880 NCTAudioEditor2.dll 06.10.2005 01:42 877.568 NCTAudioFile2.dll 06.10.2005 01:42 966.144 NCTAudioInformation2.dll 26.09.2005 18:18 25.065 wmpscheme.xml 24.09.2005 08:16 14 dpwtpaxp.dll 24.09.2005 08:16 21 dpwtdaxp.dll 24.09.2005 08:16 12 spwtpaxp.dll 14.09.2005 20:17 462.848 px.dll 14.09.2005 20:17 28.672 vxblock.dll 14.09.2005 20:17 319.488 pxdrv.dll 14.09.2005 20:17 53.248 pxhpinst.exe 14.09.2005 20:17 143.360 pxmas.dll 14.09.2005 20:17 286.720 pxwave.dll 26.08.2005 18:14 127.078 javaws.exe 26.08.2005 18:14 49.265 jpicpl32.cpl 26.08.2005 15:55 49.250 javaw.exe 26.08.2005 15:55 49.248 java.exe 04.07.2005 19:49 4 micr0st.dll Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 05.01.2006 16:51 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}28705.html 05.01.2006 16:18 16.384 ~DF4A84.tmp 05.01.2006 16:18 512 ~DF4ACC.tmp 05.01.2006 16:18 512 ~DF4A9D.tmp 05.01.2006 16:18 16.384 ~DF4AB3.tmp 05.01.2006 16:18 16.384 ~DF4A25.tmp 05.01.2006 16:18 512 ~DF4A3E.tmp 05.01.2006 16:18 512 ~DF4A6E.tmp 05.01.2006 16:18 16.384 ~DF4A54.tmp 05.01.2006 16:16 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}23449.html 05.01.2006 16:16 16.384 ~DF8E9A.tmp 05.01.2006 16:16 512 ~DF71C9.tmp 05.01.2006 16:16 16.384 ~DF71B0.tmp 04.01.2006 22:28 233.476 MSI59889.LOG 04.01.2006 22:27 16.384 76.tmp 04.01.2006 22:27 83.892 MSI59884.LOG 04.01.2006 22:26 16.384 3B.tmp 04.01.2006 22:26 83.894 MSI4595e.LOG 04.01.2006 22:26 83.894 MSI4595d.LOG 04.01.2006 01:46 16.384 ~DF1C49.tmp 04.01.2006 01:46 16.384 ~DF1219.tmp 03.01.2006 22:51 283 wahtmltmp00.htm 03.01.2006 20:24 16.384 ~DF87B7.tmp 03.01.2006 20:24 16.384 ~DF7B10.tmp 03.01.2006 02:47 16.384 ~DFFB8.tmp 03.01.2006 02:42 16.384 ~DF887F.tmp 03.01.2006 01:01 16.384 ~DF1F68.tmp 03.01.2006 01:01 16.384 ~DF14AF.tmp 03.01.2006 00:43 233.448 MSI83617.LOG 02.01.2006 01:38 297.109 azplugins_1.8.8.jar 02.01.2006 01:37 853 AZU8568.tmp 02.01.2006 01:34 832 java_install_reg.log 02.01.2006 00:11 16.384 ~DF8055.tmp 02.01.2006 00:11 16.384 ~DF7070.tmp 01.01.2006 23:41 16.384 ~DF9BDA.tmp 01.01.2006 23:41 16.384 ~DF9341.tmp 31.12.2005 21:17 16.384 ~DF55E9.tmp 31.12.2005 21:17 16.384 ~DF4B90.tmp 31.12.2005 20:17 16.384 ~DFC4CB.tmp 31.12.2005 20:17 16.384 ~DFBAF9.tmp 31.12.2005 17:05 16.384 ~DF93BC.tmp 31.12.2005 17:05 16.384 ~DF84DF.tmp 29.12.2005 00:42 50.856 tmp29237zip 29.12.2005 00:41 5.071 tmp29232xml 26.12.2005 03:10 248 1F1205F7.TMP 07.07.2005 14:03 102.479 ICQLSRP.dll 07.07.2005 13:54 32.847 ICQRT.dll 03.02.2005 16:30 5.739 ICQTIK.dll 17.12.2004 11:51 36.864 ICQInstall.exe 12.10.2004 11:14 57.344 InstHelp.dll 50 Datei(en) 1.739.634 Bytes 0 Verzeichnis(se), 13.147.181.056 Bytes frei Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\WINDOWS 05.01.2006 16:32 652.621 WindowsUpdate.log 05.01.2006 16:27 6.173 KB899587.log 05.01.2006 16:27 6.074 KB896422.log 05.01.2006 16:27 6.134 KB885835.log 05.01.2006 16:26 5.953 KB885836.log 05.01.2006 16:26 6.184 KB885250.log 05.01.2006 16:26 5.684 KB901017.log 05.01.2006 16:26 5.576 KB899591.log 05.01.2006 16:26 5.486 KB896424.log 05.01.2006 16:26 5.382 KB893756.log 05.01.2006 16:26 5.357 KB873339.log 05.01.2006 16:26 5.259 KB888113.log 05.01.2006 16:26 5.488 KB887742.log 05.01.2006 16:26 5.069 KB887472.log 05.01.2006 16:26 4.894 KB896358.log 05.01.2006 16:26 5.176 KB905915.log 05.01.2006 16:25 4.767 KB891781.log 05.01.2006 16:25 4.611 KB902400.log 05.01.2006 16:24 4.488 KB890046.log 05.01.2006 16:24 4.395 KB893066.log 05.01.2006 16:24 4.288 KB899589.log 05.01.2006 16:24 4.189 KB905414.log 05.01.2006 16:24 4.094 KB901214.log 05.01.2006 16:24 4.069 KB888302.log 05.01.2006 16:24 3.906 KB900725.log 05.01.2006 16:24 3.798 KB904706.log 05.01.2006 16:24 3.694 KB905749.log 05.01.2006 16:24 3.592 KB896428.log 05.01.2006 16:24 3.506 KB894391.log 05.01.2006 16:23 3.647 KB890859.log 05.01.2006 16:17 3.398 KB896423.log 05.01.2006 16:14 0 0.log 05.01.2006 16:14 2.048 bootstat.dat 05.01.2006 01:09 32.626 SchedLgU.Txt 05.01.2006 01:02 64.847 iis6.log 05.01.2006 01:02 12.647 comsetup.log 05.01.2006 01:02 9.093 ntdtcsetup.log 05.01.2006 01:02 1.355 imsins.log 05.01.2006 01:02 21.246 tsoc.log 05.01.2006 01:02 2.250 ocmsn.log 05.01.2006 01:02 2.022 tabletoc.log 05.01.2006 01:02 8.775 KB893803v2.log 05.01.2006 01:02 7.315 netfxocm.log 05.01.2006 01:02 4.585 medctroc.Log 05.01.2006 01:02 29.164 ocgen.log 05.01.2006 01:02 2.276 msgsocm.log 05.01.2006 01:02 36.371 FaxSetup.log 05.01.2006 01:02 16.800 msmqinst.log 05.01.2006 01:02 143.281 setupapi.log 05.01.2006 01:02 1.355 imsins.BAK 05.01.2006 01:02 8.256 KB898461.log 05.01.2006 00:43 50 wiaservc.log 05.01.2006 00:43 215 wiadebug.log 04.01.2006 23:56 28.997 spupdsvc.log 04.01.2006 23:56 232 DtcInstall.log 04.01.2006 23:56 1.411 wmsetup.log 04.01.2006 23:56 345 OEWABLog.txt 04.01.2006 23:56 316.640 WMSysPr9.prx 04.01.2006 23:55 12.077 setuplog.txt 04.01.2006 23:53 426.060 svcpack.log 04.01.2006 23:49 200 cmsetacl.log 04.01.2006 23:49 270 sessmgr.setup.log 04.01.2006 23:32 0 setuperr.log 04.01.2006 23:32 0 setupact.log 03.01.2006 23:07 47 winamp.ini 02.01.2006 01:37 9.728 Thumbs.db 02.01.2006 00:09 77.310 ntbtlog.txt 31.12.2005 00:16 527 win.ini 30.12.2005 21:42 0 Sti_Trace.log 29.12.2005 02:47 227 system.ini 28.12.2005 22:33 3.536.794 REGBK00.ZIP 25.12.2005 02:40 174 gfscore.ini 23.12.2005 21:22 2.107.446 PhotoFiltre-Wallpaper.bmp 16.12.2005 21:07 290.816 Setup1.exe 16.12.2005 21:07 74.752 ST6UNST.EXE 08.12.2005 22:34 400 ODBC.INI 03.12.2005 23:17 306 QTW.ini 01.12.2005 18:43 114 ALBUM.INI 29.11.2005 22:35 8.107 mozver.dat 28.11.2005 00:45 34 cdplayer.ini 26.11.2005 15:11 20 powerplayer.ini 19.11.2005 03:54 657 explorer.exe.manifest 12.11.2005 23:32 921.654 GreenSaver.bmp 07.11.2005 22:39 98 acc1.txt 07.11.2005 22:39 98 ncc1.txt 06.11.2005 01:31 48.128 AKDeInstall.exe 05.11.2005 23:08 100.482 UninstallThunderbird.exe 04.11.2005 23:24 107.132 UninstallFirefox.exe 26.09.2005 17:52 10 smdat32m.sys 24.09.2005 08:24 21 dpwtddxp.dll 24.09.2005 08:16 14 dpwtpdxp.dll 22.09.2005 15:52 4 msoffice.ini 14.07.2005 21:56 1.932 ModemLog_Standardmodem.txt 11.02.2005 23:46 30 RESULT.QTW 11.02.2005 23:46 231 SYSINI.QTW Datentr„ger in Laufwerk C: ist Betriebssystem Volumeseriennummer: 003F-B1CF Verzeichnis von C:\ 05.01.2006 17:08 0 sys.txt 05.01.2006 17:08 8.520 system.txt 05.01.2006 17:07 2.812 systemtemp.txt 05.01.2006 17:06 104.804 system32.txt 05.01.2006 16:14 267.964.416 hiberfil.sys 05.01.2006 16:14 367.001.600 pagefile.sys 04.01.2006 23:49 211 boot.ini 04.01.2006 23:39 47.564 NTDETECT.COM 04.01.2006 23:39 251.184 ntldr 02.01.2006 00:27 0 IO.SYS 02.01.2006 00:27 0 MSDOS.SYS 28.12.2005 23:28 6 AVPCallback.log 22.12.2005 21:56 26.488 MDacLog.txt 30.11.2005 20:46 106 ps_system_Zeit.txt 18.08.2001 20:00 4.952 bootfont.bin 15 Datei(en) 635.412.663 Bytes 0 Verzeichnis(se), 13.147.185.152 Bytes frei Die regedit habe ich geändert.... __________ Dieser Satz kein Verb. |
|
|
||
05.01.2006, 23:42
Ehrenmitglied
Beiträge: 29434 |
#71
ist es denn vorhanden??? Wieso konntest du es nicht loeschen ?????
__________ Dieser Satz kein Verb. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.01.2006, 00:38
Member
Beiträge: 45 |
#72
Ich denke mit %UserProfile% war der Benutzer unter c:\Dokumente und Einstellungen gemeint. Ich habe früher einmal zwei unterschiedliche Benutzer eingegeben, meine Frau und ich. Fanden wir aber Scnickschnack und loggen uns aber seit langem beide über Administrator ein.
Da habe ich mich über den von dir beschriebenen Weg über Administrator bis zum Ordner PBK durchgeklickt. Der ist aber leer. Über Suche habe ich rasphone.pbk bei Administrator/Recent gefunden und reingeguckt. Da heisst es dann in der entscheidenden Passage: IpPrioritizeRemote=1 IpHeaderCompression=0 IpAddress=0.0.0.0 IpDnsAddress=0.0.0.0 IpDns2Address=0.0.0.0 IpWinsAddress=0.0.0.0 IpWins2Address=0.0.0.0 IpAssign=1 IpNameAssign=1 IpFrameSize=1006 IpDnsFlags=0 IpNBTFlags=0 TcpWindowSize=0 UseFlags=1 IpSecFlags=0 IpDnsSuffix= Also keine Verweise auf fremde IP-DNS-Adressen. Wenn du den Rest der Datei kopiert brauchst, mache ich das. Insgesamt habe ich die rasphone.pbk mehrere Male gefunden, aber jedesmal gleiches Ergebnis. Keine fremden Adressen drin. Jetzt habe ich zudem manchmal eine ini gefunden namens Sharedaccess. (zuletzt geändert 2001). Ist das ne fremde Datei? Grüße, Marco __________ Dieser Satz kein Verb. |
|
|
||
06.01.2006, 00:53
Ehrenmitglied
Beiträge: 29434 |
#73
das kann auch nicht in Ordnung sein...man muss eine Adresse haben...
IpAddress=0.0.0.0 IpDnsAddress=0.0.0.0 erstelle also eine neue Internetverbindung.... Verbindung automatisch herstellen, es gibt eine Funktion, die das bewerkstelligt. schau auch mal, was du nun findest unter: HKLM\System\CCS\Services\Tcpip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.01.2006, 20:17
Member
Beiträge: 45 |
#74
Hallo Sabina!
Ich habe zunächst eine neue Internetverbindung hergestellt. Aber die Funktion "Automatisch herstellen" habe ich nirgendwo gefunden. Deswegen habe ich sie manuell mit den Zugangsdaten meines Providers hergestellt. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. Den Verlauf HKLM\System\CCS\Services\Tcpip gibt es bei mir nicht. Auch bei Eingabe über Suche kommt nix raus. Gruß, Marco __________ Dieser Satz kein Verb. |
|
|
||
06.01.2006, 23:56
Ehrenmitglied
Beiträge: 29434 |
#75
aber....es funktioniert wieder alles ...??? Oder gibt es noch Beschwerden? Der PC ist sauber, denke ich...nur eben noch das prob mit der Internetverbindung.....
Gehe in die Registry Start-->Ausfuehren--> regedit HKLM\System\CCS\Services\Tcpip schreibe, was du rechts findest. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
es fehlen noch die anderen zwei scanreporte
-----------------------------------------------------------------------------------
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis hier
http://www.virustotal.com/flash/index_en.html
C:\Windows\System32\dpwtpaxp.dll
__________
MfG Sabina
rund um die PC-Sicherheit