Home » Spyware & Browser Hijacker Support Forum » Hab das Trojan Horse "trojan-downloader-zlob" ,lässt sich nicht entfernen » Themenansicht
Hab das Trojan Horse "trojan-downloader-zlob" ,lässt sich nicht entfernenThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
24.05.2006, 21:46
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
30.05.2006, 16:59
...neu hier
Beiträge: 1 |
#47
Hallo
Ich habe bei mir auch diesen TR/Dldr.Zlob.PT.2 gefunden. Könntet ihr mir vielleicht auch dabei helfen? Hier die logs: Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: DCCE-ED08 Verzeichnis von C:\WINNT\system32 30.05.2006 15:49 5.064 stdole3.tlb 30.05.2006 15:44 7.168 simpole.tlb 30.05.2006 15:44 21.828 nvapps.xml 30.05.2006 15:43 37.888 hp100.tmp 28.05.2006 20:31 59.904 dcomcfg.exe 27.05.2006 20:49 4.286 ot.ico 27.05.2006 20:49 4.286 ts.ico 27.05.2006 20:24 11.056 atmclk.exe 25.05.2006 16:09 79.373 regperf.exe 04.05.2006 20:52 16.384 Perflib_Perfdata_2ec.dat 18.03.2006 16:37 167.504 FNTCACHE.DAT 18.01.2006 14:05 57.344 avsda.dll 03.01.2006 21:37 16.384 Perflib_Perfdata_330.dat 08.12.2005 13:56 65.536 QuickTimeVR.qtx 08.12.2005 13:56 49.152 QuickTime.qts Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: DCCE-ED08 Verzeichnis von C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp 30.05.2006 15:44 206 jusched.log 1 Datei(en) 206 Bytes 0 Verzeichnis(se), 9.220.153.344 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: DCCE-ED08 Verzeichnis von C:\WINNT 30.05.2006 15:43 95 winamp.ini 30.05.2006 15:43 1.354.210 WindowsUpdate.log 29.05.2006 23:30 32.558 SchedLgU.Txt 29.05.2006 23:29 1.546.448 ShellIconCache 28.05.2006 23:59 320.086 wmsetup.log 25.05.2006 15:17 54.156 QTFont.qfn 23.04.2006 18:19 1.409 QTFont.for 23.04.2006 18:18 1.572.918 ACD Wallpaper.bmp 17.04.2006 22:31 121 GEARInstall.log 20.03.2006 22:16 554.080 setupapi.log 18.03.2006 17:25 308.280 DirectX.log 30.01.2006 19:22 14.483 cdplayer.ini Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: DCCE-ED08 Verzeichnis von C:\ 30.05.2006 16:22 0 sys.txt 30.05.2006 16:18 6.455 system.txt 30.05.2006 16:16 303 systemtemp.txt 30.05.2006 15:54 95.938 system32.txt 30.05.2006 15:07 402.653.184 pagefile.sys 18.03.2006 16:39 228 SearchIndex.edx 04.02.2006 15:45 0 AILog.txt Logfile of HijackThis v1.99.1 Scan saved at 16:59:44, on 30.05.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\system32\CTsvcCDA.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\wuauclt.exe C:\WINNT\system32\dcomcfg.exe C:\WINNT\system32\atmclk.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\WINNT\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Katharina Buhr\Eigene Dateien\Zeugs\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\KATHAR~1\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\Aprps\cxtpls.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {BDBAC599-1452-4C9F-BFBC-7234B6233257} - C:\WINNT\system32\hkhcg.dll (file missing) O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINNT\system32\hp100.tmp O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [5stg3mg] wuppi.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [System Update4] c:\dokume~1\kathar~1\anwend~1\service.exe O4 - HKCU\..\Run: [KB2mRgM7O] wowpt32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://real.gamehouse.com/games/luxor/mjolauncher.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O18 - Filter: text/html - {DDBDC31A-4E74-4E44-B5B4-B251D95F683B} - C:\WINNT\system32\hkhcg.dll O18 - Filter: text/plain - {DDBDC31A-4E74-4E44-B5B4-B251D95F683B} - C:\WINNT\system32\hkhcg.dll O19 - User stylesheet: (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe ------- Habe CleanUp eingestellt und gestartet. Hoffe ich habe nichts falsch gemacht und ihr könnt mir helfen. Danke! |
|
|
|
|
|
|
30.05.2006, 23:44
Ehrenmitglied
Beiträge: 29434 |
#48
Katherice
1. wende bitte als erstes dieses Tool an: Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html 2.. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ Zitat C:\WINNT\system32\stdole3.tlbPC neustarten 3.. Laden und alles auf dem Desktop entpacken: *) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der Registry beifuegen *)smitfraud.fix http://virus-protect.org/artikel/tools/smitfrautfix.html 4. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank** PC neustarten--> in den abgesicherten modus ** smitfraud.fix anwenden -doppelklick smitfraudfix.cmd -schreibe: 2 -auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n] boote wieder in den normalmodus + poste das Log von smitfraud.fix ** 5. Text in den Texteditor kopieren abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat und dann diese bat doppeltklicken Zitat cd\6. poste: echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.06.2006, 11:20
Member
Beiträge: 32 |
#49
hallo:-)
hab auch spyware aufm pc..gehabt?naja hab mir die logs durchgelesen und dann ein wenig sachen gelöscht.. würd mich aber trotzdem noch interessieren ob ich was vergessen habe...poste hier mal mein log Logfile of HijackThis v1.99.1 Scan saved at 11:11:23, on 04.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\nvraidservice.exe C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\ElkCtrl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149358269968 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe so diese ani datei hab ich gelöscht des brauch ich hoffe ich nicht:-) bleibt noch o2 bho nothing... und mein elkctrl datei. steht irgendwo bei der selbst analyse das es eine böse datei sein kann wenn se in der system 32 steht.. ich hab ne logitech webcam.. nur so nebenbei. danke für eure hilfe |
|
|
|
|
|
|
04.06.2006, 12:14
Ehrenmitglied
Beiträge: 29434 |
#50
SilverBeast
der Virus ist noch aktiv 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.06.2006, 12:37
Member
Beiträge: 32 |
#51
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: A8B8-3653 Verzeichnis von C:\WINDOWS\system32 04.06.2006 12:22 5.024 stdole3.tlb 04.06.2006 11:06 41.111 vsconfig.xml 04.06.2006 11:06 3.284 ANIWZCS{6CF32C1B-DA3C-49B0-A438-EE5A443F3C66} 04.06.2006 11:06 43.533 ld100.tmp 04.06.2006 10:40 7.680 simpole.tlb 04.06.2006 10:39 38.400 hp100.tmp 04.06.2006 10:12 4.286 ot.ico 03.06.2006 18:18 52.749 regperf.exe 03.06.2006 18:18 12.271 winhoq32.dll 03.06.2006 15:45 2.206 wpa.dbl 18.05.2006 00:09 9.521 lvcoinst.log 09.05.2006 07:32 282.928 FNTCACHE.DAT 08.05.2006 23:20 176.167 rmoc3260.dll 08.05.2006 23:20 5.632 pndx5032.dll 08.05.2006 23:20 6.656 pndx5016.dll 08.05.2006 23:20 278.528 pncrt.dll 22.04.2006 00:03 23.392 nscompat.tlb 22.04.2006 00:03 16.832 amcompat.tlb 19.04.2006 15:40 0 Biport 18.04.2006 22:10 50 bridf05a.dat 18.04.2006 03:55 4.212 zllictbl.dat 26.03.2006 18:44 391.330 perfh007.dat 26.03.2006 18:44 52.900 perfc009.dat 26.03.2006 18:44 380.486 perfh009.dat 26.03.2006 18:44 63.778 perfc007.dat 26.03.2006 18:44 897.954 PerfStringBackup.INI 16.03.2006 11:34 71.448 zlcommdb.dll 16.03.2006 11:34 79.640 zlcomm.dll 16.03.2006 11:33 100.120 vsxml.dll 16.03.2006 11:33 382.744 vsutil.dll 16.03.2006 11:33 71.448 vsregexp.dll 16.03.2006 11:33 227.096 vspubapi.dll 16.03.2006 11:33 104.216 vsmonapi.dll 16.03.2006 11:33 141.080 vsinit.dll 16.03.2006 11:33 372.824 vsdatant.sys 16.03.2006 11:32 83.736 vsdata.dll 16.03.2006 11:16 54.960 vsutil_loc0407.dll 03.03.2006 21:35 2.957 jupdate-1.5.0_01-b08.log 18.01.2006 14:05 57.344 avsda.dll 15.01.2006 22:01 7.006 jupdate-1.5.0_06-b05.log 14.12.2005 10:24 118.784 sirenacm.dll 08.12.2005 13:56 65.536 QuickTimeVR.qtx 08.12.2005 13:56 49.152 QuickTime.qts 05.12.2005 07:12 28.672 vxblock.dll 05.12.2005 07:12 172.032 pxmas.dll 05.12.2005 07:12 61.440 pxhpins entr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: A8B8-3653 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 04.06.2006 12:12 16.384 ~DFAFA0.tmp 04.06.2006 11:06 16.384 Perflib_Perfdata_acc.dat 04.06.2006 11:06 16.384 Perflib_Perfdata_174.dat 3 Datei(en) 49.152 Bytes 0 Verzeichnis(se), 3.742.449.664 Bytes frei Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: A8B8-3653 Verzeichnis von C:\WINDOWS 04.06.2006 11:12 507 win.ini 04.06.2006 11:12 227 system.ini 04.06.2006 11:06 452.923 WindowsUpdate.log 04.06.2006 11:06 50 wiaservc.log 04.06.2006 11:06 159 wiadebug.log 04.06.2006 11:05 0 0.log 04.06.2006 11:05 2.048 bootstat.dat 04.06.2006 11:04 32.634 SchedLgU.Txt 01.06.2006 15:50 54.156 QTFont.qfn 29.05.2006 19:04 116 NeroDigital.ini 28.05.2006 15:54 6.276 PSPICEEV.INI 28.05.2006 14:57 963 SilentScriptLog.txt 27.05.2006 11:51 1.409 QTFont.for 13.05.2006 14:16 3.932.214 Firefox Wallpaper.bmp 09.05.2006 20:29 3.686.454 ACD Wallpaper.bmp 08.05.2006 23:21 13.396 mozver.dat 02.05.2006 13:25 121 GEARInstall.log 22.04.2006 00:11 314 wmsetup10.log 20.04.2006 16:43 272 _delis32.ini 19.04.2006 16:26 28 atid.ini 18.04.2006 22:12 511 BRWMARK.INI 18.04.2006 22:12 27 BRPP2KA.INI 18.04.2006 21:51 316.640 WMSysPr9.prx 01.04.2006 15:22 200 RtlRack.ini 28.03.2006 16:37 302 lexstat.ini 04.03.2006 12:33 0 mngui.INI 04.03.2006 10:52 233.516 DPINST.LOG 28.02.2006 14:29 799 stwin05.ini 28.02.2006 14:29 112 d2hnav.ini 27.02.2006 16:41 253 tm.ini 27.02.2006 16:28 35 tdf.dii 03.02.2006 13:06 8.329 F-FORCE.LOG Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: A8B8-3653 Verzeichnis von C:\ 04.06.2006 12:35 0 sys.txt 04.06.2006 12:35 7.364 system.txt 04.06.2006 12:35 425 systemtemp.txt 04.06.2006 12:34 600 DirDPF.txt 04.06.2006 12:34 2 DirDPFCns.txt 04.06.2006 12:32 116.831 system32.txt 04.06.2006 11:12 211 boot.ini 04.06.2006 11:05 805.306.368 pagefile.sys 28.03.2006 16:14 168 setupfax.log 17.01.2006 12:35 10.581 SX1Addon.log 17.01.2006 12:34 86.146 SDSSetup.log 17.01.2006 12:31 3 TCPCheckResult.txt 24.11.2005 17:36 0 CONFIG.SYS 24.11.2005 17:36 0 MSDOS.SYS 24.11.2005 17:36 0 IO.SYS 24.11.2005 17:36 0 AUTOEXEC.BAT 03.08.2004 22:59 251.184 ntldr 03.08.2004 22:38 47.564 NTDETECT.COM 18.08.2001 11:00 4.952 bootfont.bin 19 Datei(en) 805.832.399 Bytes 0 Verzeichnis(se), 3.742.437.376 Bytes frei 10)DPF???? Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: A8B8-3653 Verzeichnis von C:\WINDOWS\Downloaded Program Files 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 16.09.2003 19:05 299.008 isusweb.dll 27.03.2006 13:00 5.019 swflash.inf 26.05.2005 04:19 291 wuweb.inf 5 Datei(en) 525.502 Bytes Anzahl der angezeigten Dateien: 5 Datei(en) 525.502 Bytes 0 Verzeichnis(se), 3.742.445.568 Bytes frei 10)DPF???? Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: A8B8-3653 Verzeichnis von C:\WINDOWS\Downloaded Program Files 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 16.09.2003 19:05 299.008 isusweb.dll 27.03.2006 13:00 5.019 swflash.inf 26.05.2005 04:19 291 wuweb.inf 5 Datei(en) 525.502 Bytes Anzahl der angezeigten Dateien: 5 Datei(en) 525.502 Bytes 0 Verzeichnis(se), 3.742.433.280 Bytes frei hbas echo 2 mal gemacht.-) so und nü? |
|
|
|
|
|
|
04.06.2006, 12:41
Ehrenmitglied
Beiträge: 29434 |
#52
SilverBeast
1. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der registry beifuegen 2. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ......... Zitat C:\WINDOWS\system32\stdole3.tlb3. suche: C:\!KillBox und lösche alle dort eventuell befindlichen Dateien manuell 4. leeren: C:\WINDOWS\TEMP\ ------------------------------------------------------------ 5. smitfraudfix abarbeiten- poste den report http://virus-protect.org/artikel/tools/smitfrautfix.html 6. Counerspy http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
04.06.2006, 14:45
Member
Beiträge: 32 |
#53
hi hab ein kleines problem gerade...wieso kann ich mich nicht mehr in mein wlan netz einloggen?mhh problem hat sich gerade gelöst...wieso weiss ich nicht habe nochmal den netzwerk schlüssel etc eingegebne......egal..poste schon mal den smitfraud log..jetzt klappt auch der letzte download...
SmitFraudFix v2.53 Scan done at 12:59:16,70, 04.06.2006 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\hp???.tmp FOUND ! C:\WINDOWS\system32\hp????.tmp FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\regperf.exe FOUND ! C:\WINDOWS\system32\simpole.tlb FOUND ! C:\WINDOWS\system32\stdole3.tlb FOUND ! C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1 C:\DOKUME~1\ADMINI~1\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}"="alongshore" [HKEY_CLASSES_ROOT\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}\InProcServer32] @="C:\WINDOWS\system32\yhbdupd.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}\InProcServer32] @="C:\WINDOWS\system32\yhbdupd.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End so der zweite SmitFraudFix v2.53 Scan done at 13:08:09,39, 04.06.2006 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}"="alongshore" [HKEY_CLASSES_ROOT\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}\InProcServer32] @="C:\WINDOWS\system32\yhbdupd.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}\InProcServer32] @="C:\WINDOWS\system32\yhbdupd.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\hp???.tmp Deleted C:\WINDOWS\system32\ld????.tmp Deleted C:\WINDOWS\system32\1024\ Deleted C:\DOKUME~1\ADMINI~1\FAVORI~1\Antivirus Test Online.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\system32\yhbdupd.dll -> Missing File »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ? mal sehen was is wenn ich pc neu starte:-) aber chkdsk is schonmal weg das cool:-) der bootet so schnell so nun nich den log vom letzten Spyware Scan Details Start Date: 04.06.2006 13:35:14 End Date: 04.06.2006 13:54:04 Total Time: 18 mins 50 secs Detected spyware WhenU.VVSN Adware Downloader more information... Details: WhenU.VVSN is an installer application for many WhenU products, including WhenU.Save!, WhenU.Weathercast, WhenUSearch, and WhenU.ClockSync. Status: Deleted DesktopScam Trojan Downloader more information... Details: DesktopScam is a trojan that is downloaded with rogue security applicatons in order to frighten the affected user into purchasing the rogue program. Status: Deleted Infected files detected c:\dokumente und einstellungen\all users\startmenü\security troubleshooting.url c:\dokumente und einstellungen\all users\startmenü\online security guide.url so hoffe das wars:-) narf |
|
|
|
|
|
|
04.06.2006, 16:28
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
04.06.2006, 16:40
Member
Beiträge: 32 |
#55
klasse danke dir!!!!!!!!!!!!!!!:-)hoffe mein wlan funktioniert beim nächsten hochfahren:-) nervt sonst...aber das bekomm ich allein hin:-)klasse hilfe von dir:-)
hmm mal doofe frage stellen..hab gerade dies ot.ico logo gefunden bei mir im menu start... da wo acrobat reader is.. is nur das logo gewechselt und sieht genauso aus wie die datei mit ot.ico. fehlt nur das original icon von acrobat reader?? Dieser Beitrag wurde am 04.06.2006 um 16:54 Uhr von SilverBeast editiert.
|
|
|
|
|
|
|
04.06.2006, 22:29
Ehrenmitglied
Beiträge: 29434 |
#56
Zitat C:\WINDOWS\system32\ot.ico FOUND !wurde gefunden und anscheinend nicht geloescht. Loesche es also manuell. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.06.2006, 20:42
...neu hier
Beiträge: 1 |
#57
Hallo, tut mir Leid euch zu möglicherweise zu nerven, aber ich habe das gleiche Problem und bekomme diesen trojan horse downloader.zlob einfach nicht weg...
Hier mein HiJackThis-Log: Logfile of HijackThis v1.99.1 Scan saved at 20:41:42, on 10.06.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe D:\Programme\ASUS\Probe\AsusProb.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\System32\WinSys.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SatSrv.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\SlySoft\CloneCD\CloneCDTray.exe D:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe D:\PROGRA~1\ICQ\ICQ.exe D:\Programme\VirtuaWin\VirtuaWin.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\VirtuaWin\modules\WinList.exe D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Dokumente und Einstellungen\Da King of Bling\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - D:\Programme\GMX\GMX Toolbar\toolbar.dll O4 - HKLM\..\Run: [ASUS Probe] d:\Programme\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [WinSys] C:\WINDOWS\System32\WinSys.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKCU\..\Run: [GMX SMS-Manager] D:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VirtuaWin.lnk = D:\Programme\VirtuaWin\VirtuaWin.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Spiele\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147269425197 O20 - Winlogon Notify: SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\System32\SatSrv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe Danke im Voraus für eure Hilfe!! Danke! |
|
|
|
|
|
|
10.06.2006, 21:49
Ehrenmitglied
Beiträge: 29434 |
#58
Kreidl
ein (verseuchter) Rechner ohne WindowsUpdates... die schaue ich mir normalerweise nicht an...  1. virustotal Oben auf der Seite --> auf Durchsuchen klicken --> gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\System32\WinSys.exe poste den bericht ------------------------------------------------------------------ 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.06.2006, 19:03
...neu hier
Beiträge: 1 |
#59
hallo,
ich habe gerade erfolgreich trojan-downloader-zlob entfernt, ging ganz einfach mit steganos anti-spyware |
|
|
|
|
|
|
25.11.2006, 00:31
...neu hier
Beiträge: 1 |
#60
Hallo!
Ich hab einen Trojaner, der sich scheinbar nicht löschen lässt und ständig wieder versteckt. Hab ne log erstellt... nicht wundern, hab alles möglichen viren-programme runtergezogen um das ding zu fangen... wär schön, wenn mir jemand helfen könnte!!! Logfile of HijackThis v1.99.1 Scan saved at 00:24:11, on 25.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\Programme\Gold Codec\pmsngr.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gold Codec\pmmon.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Winamp\winampa.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\a-squared Anti-Malware\a2wizard.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\DOKUME~1\judith\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {ae18da4e-be15-4925-81bb-890c04af0200} - C:\Programme\Gold Codec\isaddon.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [InstantOn] C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c O4 - HKLM\..\Run: [AntivirusRegistration] c:\programme\antivirus offer\etrust antivirus registration\EzAntivirusRegistrationCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.6962\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {3D58ADF1-2986-4B11-AA79-6D427F004F08} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111000070881 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/web_games/popcap/bejeweled2/popcaploader_v6.cab O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
http://virus-protect.org/killbox.html
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........
C:\WINDOWS\system32\oins.exe
C:\WINDOWS\system32\fyhhxw.dll
PC neustarten
es kann auch sein, dass Antivirus die Dateien im backup vom Avenger findet.
loesche also das BackUp !
__________
MfG Sabina
rund um die PC-Sicherheit