Home » Viren, Trojaner & Malware Forum » Wie kann ich den Trojaner vbsys2.dll löschen ? » Themenansicht
Wie kann ich den Trojaner vbsys2.dll löschen ? |
||
|---|---|---|
| #0
| ||
|
18.10.2005, 20:56
Member
Beiträge: 19 |
||
 
|
|
|
|
18.10.2005, 21:10
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
18.10.2005, 21:48
Member
Beiträge: 1132 |
#18
Hi Luc,
Du bist schon bisher sehr weit gekommen. Das ist sehr gut! Vergiss den eScanCheck und mache was Sabina vorschlägt. Fixe die erwähnten HJT Einträge (hatte ich übersehen) und poste die angeforderten Logs. Sie helfen, Deinen Rechner gründlich zu reinigen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
19.10.2005, 19:59
Member
Beiträge: 19 |
#19
Hallo Heron,
die von Sabina erwähnten Einträge finde ich nicht im genauen Wortlaut im HJT Log. Hier nun der HJT Log Logfile of HijackThis v1.99.1 Scan saved at 19:46:07, on 19.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\rsss\estr.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AOL 9.0\aoltray.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Arnd\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Rlos] "C:\Programme\rsss\estr.exe" -vt mt O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/games/clients/y/dtt1_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Den letzten Schritt "Windowsupdates machen und Service Pack 2 aufspielen" muss ich noch machen. Sind hierbei "Windows updates" und "Service Pack 2" zwei voneinander unabhängige Programmoptimierungen? Gruß Luc Arnd |
|
|
|
|
|
|
19.10.2005, 20:58
Member
Beiträge: 1132 |
#20
Fixe noch mit HJT
O4 - HKCU\..\Run: [Rlos] "C:\Programme\rsss\estr.exe" -vt mt Die von Sabina gemeinten Logs haben nichts mit HijackThis zu tun! Die musst Du separat erstellen nach der Anleitung auf http://virus-protect.org/datfindbat.html Arbeite das bitte ab und poste die Logs Service Pack 2 (SP2) ist ebenfalls ein Sicherheitsupdate für Windows. Es handelt sich dabei um ein ganzes Paket von Updates, das Du von der MS Seite herunterladen kannst (ist aber u.U. sehr groß; > 200 MB). Solltest Du eine Dialup-Verbindung zum Inet haben, dann bietet es sich an, die entsprechende CD aufzuspielen. Die SP2 CD erhälts Du bei verschiedenen Computerzeitschriften oder kannst sie kostenlos bei MS bestellen http://www.microsoft.com/germany/windowsxp/sp2/anwender/bezug.mspx Die aktuellen Sicherheitsupdates kannst Du direkt von der MS Seite downloaden. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
|
|
|
|
19.10.2005, 21:24
Member
Beiträge: 19 |
#21
Hallo Heron,
beim Versuch O4 - HKCU\..\Run: [Rlos] "C:\Programme\rsss\estr.exe" -vt mt zu fixen verhindert Spybot-Search&Destroy das Löschen diese Eintrages. Wie kann ich Spybot wieder löschen? Gruß Arnd |
|
|
|
|
|
|
19.10.2005, 21:27
Ehrenmitglied
 Beiträge: 29434 |
#22
fixe zuerst den
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe neustarten dann O4 - HKCU\..\Run: [Rlos] "C:\Programme\rsss\estr.exe" -vt mt neustarten kopiere die 4 logs hier, um die ich gebeten habe. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
19.10.2005, 21:57
Member
Beiträge: 19 |
#23
Hallo Sabina, Hallo Heron
"fixe zuerst den O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe neustarten dann O4 - HKCU\..\Run: [Rlos] "C:\Programme\rsss\estr.exe" -vt mt neustarten" => Habe ich gemacht. Anschließend habe datfind.bat ausgeführt. Hier die jeweiligen Logs: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\WINDOWS\system32 14.10.2005 19:45 2.206 wpa.dbl 05.10.2005 19:45 136.704 oins.exe 28.07.2005 14:52 91.856 S32EVNT1.DLL 10.06.2005 23:59 2 wtsit.exe Clickspring Spyware 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 128.280 wucltui.dll 26.05.2005 04:16 194.840 wuaueng1.dll 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 174.872 wuaucpl.cpl 05.04.2005 11:17 517.848 SymNeti.dll 05.04.2005 11:17 132.824 SymRedir.dll 27.03.2005 03:15 376.016 perfh009.dat 27.03.2005 03:15 51.814 perfc009.dat 27.03.2005 03:15 386.338 perfh007.dat 27.03.2005 03:15 62.578 perfc007.dat 27.03.2005 03:15 886.752 PerfStringBackup.INI 31.01.2005 22:30 228.000 FNTCACHE.DAT 30.01.2005 13:47 176.167 rmoc3260.dll 30.01.2005 13:47 5.632 pndx5032.dll 30.01.2005 13:47 6.656 pndx5016.dll 30.01.2005 13:47 278.528 pncrt.dll 27.01.2005 15:39 466.944 capicom.dll 06.01.2005 20:15 1.406 oi-uninstaller.ico 29.12.2004 10:05 3.664 OEMINFO.PNF 09.11.2004 21:36 225.280 AOLDial.dll 08.10.2004 14:45 311.296 NCTAudioRecord2.dll 08.10.2004 14:45 315.392 NCTAudioPlayer2.dll 08.10.2004 14:45 724.992 NCTAudioEditor2.dll 08.10.2004 14:45 1.843.200 NCTAudioFile2.dll 08.10.2004 14:45 237.568 lame_enc.dll 08.10.2004 14:45 450.560 NCTAudioTransform2.dll 08.10.2004 14:45 1.036.288 NCTAudioInformation2.dll 07.10.2004 00:36 3.207 jupdate-1.4.2_05-b04.log 02.07.2004 00:08 331.776 winhttp.dll 02.07.2004 00:08 360.448 qmgr.dll 02.07.2004 00:08 7.168 bitsprx3.dll 02.07.2004 00:08 7.680 bitsprx2.dll 02.07.2004 00:08 17.408 qmgrprxy.dll 30.06.2004 18:00 183.808 xpob2res.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\DOKUME~1\Arnd\LOKALE~1\Temp 19.10.2005 21:42 16.384 ~WRF0000.tmp 19.10.2005 21:42 512 ~DFDA7A.tmp 19.10.2005 21:39 4 PMShared 19.10.2005 21:38 1.760 jusched.log 19.10.2005 21:36 0 WER644.tmp 18.10.2005 20:32 16.384 ~DFA281.tmp 18.10.2005 20:26 16.384 ~DF1F8.tmp 12.10.2004 11:14 57.344 InstHelp.dll 8 Datei(en) 108.772 Bytes 0 Verzeichnis(se), 69.399.552.000 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\WINDOWS 19.10.2005 21:39 578 win.ini 19.10.2005 21:39 0 0.log 19.10.2005 21:38 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt 19.10.2005 21:38 159 wiadebug.log 19.10.2005 21:38 2.081.183 WindowsUpdate.log 19.10.2005 21:38 50 wiaservc.log 19.10.2005 21:38 7.823 setupapi.log 19.10.2005 21:37 2.048 bootstat.dat 19.10.2005 21:37 32.544 SchedLgU.Txt 18.10.2005 20:33 273.540 ntbtlog.txt 05.10.2005 19:45 38.912 mtuninst.exe 26.09.2005 08:29 1.409 QTFont.for 26.09.2005 08:29 54.156 QTFont.qfn 25.09.2005 14:17 368 cdplayer.ini 02.06.2005 22:48 0 iPlayer.INI 22.02.2005 20:26 253 tm.ini 22.02.2005 20:24 35 tdf.dii 11.04.2004 08:36 2 msoffice.ini 10.04.2004 12:04 316.640 WMSysPr9.prx 10.04.2004 12:00 112 WISO.INI 01.03.2004 13:54 111 BUHL.INI 22.09.2003 23:59 61 smscfg.ini 22.09.2003 21:27 921 Recorder.reg 20.09.2003 20:01 400 ODBC.INI 20.09.2003 19:24 47 InoSetup.ini 20.09.2003 19:14 8.192 REGLOCS.OLD 20.09.2003 19:11 335 nsreg.dat 20.09.2003 17:47 0 Sti_Trace.log 20.09.2003 17:45 231 system.ini 20.09.2003 17:33 92 CMISETUP.INI 20.09.2003 17:33 26 CMCDPLAY.INI 20.09.2003 17:33 0 Wininit.ini 20.09.2003 16:53 197.071 orun32.isu 20.09.2003 16:53 863 orun32.ini 20.09.2003 16:50 0 control.ini 20.09.2003 16:50 299.552 WMSysPrx.prx 20.09.2003 16:49 4.161 ODBCINST.INI 20.09.2003 16:49 749 WindowsShell.Manifest 20.09.2003 16:48 36 vb.ini 20.09.2003 16:48 37 vbaddin.ini 17.09.2003 22:18 64.957 Cmuda.ini 16.09.2003 15:25 82.930 CMUDA.CAT 12.09.2003 22:45 29.490 CMVIA.INF 12.09.2003 22:45 32.333 CMSIS.INF 12.09.2003 22:41 17.282 CMICHX.INF 12.09.2003 22:39 745.920 CMUDA.SYS 12.09.2003 20:07 2.244.608 CMICNFG.CPL 12.09.2003 16:52 106.496 CMUDA.DLL 28.08.2003 15:48 12.862 CMCOMM.INF 27.08.2003 11:49 3.424 cmiainfo.sys 20.08.2003 18:46 233.472 CMIRMDRV.EXE 18.08.2003 16:12 12.145 CMUDA.INF 05.08.2003 14:23 266.240 CMIUninstall.exe 22.07.2003 11:15 225.280 CmiRmRedundDir.exe 27.06.2003 15:39 506.368 mHotkey.exe 27.06.2003 09:36 5.798.912 CNYHKey.exe 24.06.2003 11:25 8.632 PRISMDOM.ini 16.06.2003 17:42 49.152 CNYUSB.dll 05.06.2003 10:24 4.642 mHotkey.reg 29.05.2003 11:48 999.424 explorer.exe 27.05.2003 17:13 24.576 HKCYDLL.dll 26.05.2003 19:19 532.544 PIC.dll 16.05.2003 20:09 11.776 HIDMNT.dll 24.04.2003 13:29 32.768 UDAPROP.DLL 03.03.2003 17:25 34.304 ieuninst.exe 03.03.2003 15:25 34.304 Q330994.exe 28.02.2003 18:26 46.352 setdebug.exe 28.02.2003 16:35 6.550 jautoexp.dat 18.02.2003 17:26 28.672 CMIRMDRV.DLL 07.02.2003 22:23 195.848 LavaLamp.scr 07.02.2003 21:50 6.473.728 LavaLamp.avi 06.02.2003 19:13 52.034 LavaLamp_2.ole 06.02.2003 19:13 387.558 LavaLamp_1.ole 21.11.2002 10:00 747 LedHKey.reg 18.10.2002 15:56 28.672 CMIRmDriver.dll 04.10.2002 14:24 360 CNYHKey.ini 21.09.2002 20:13 10.752 hh.exe 29.08.2002 14:00 17.062 Kaffeetasse.bmp 29.08.2002 14:00 141.312 regedit.exe 29.08.2002 14:00 257.568 winhelp.exe 29.08.2002 14:00 17.362 Rhododendron.bmp 29.08.2002 14:00 65.832 Santa Fe-Stuck.bmp 29.08.2002 14:00 271.872 winhlp32.exe 29.08.2002 14:00 65.978 Seifenblase.bmp 29.08.2002 14:00 1.405 msdfmap.ini 29.08.2002 14:00 26.582 Granit.bmp 29.08.2002 14:00 26.680 F„cher.bmp 29.08.2002 14:00 16.730 Feder.bmp 29.08.2002 14:00 80 explorer.scf 29.08.2002 14:00 15.872 TASKMAN.EXE 29.08.2002 14:00 48.680 winnt.bmp 29.08.2002 14:00 48.680 winnt256.bmp 29.08.2002 14:00 94.800 twain.dll 29.08.2002 14:00 46.592 twain_32.dll 29.08.2002 14:00 49.680 twunk_16.exe 29.08.2002 14:00 25.600 twunk_32.exe 29.08.2002 14:00 2 desktop.ini 29.08.2002 14:00 65.954 Pr„riewind.bmp 29.08.2002 14:00 17.336 Angler.bmp 29.08.2002 14:00 67.072 NOTEPAD.EXE 29.08.2002 14:00 82.944 clock.avi 29.08.2002 14:00 9.522 Zapotek.bmp 29.08.2002 14:00 18.944 vmmreg32.dll 29.08.2002 14:00 1.272 Blaue Spitzen 16.bmp 29.08.2002 14:00 707 _default.pif 28.08.2002 13:43 73.728 Dit.exe 28.08.2002 01:13 65.536 Dit.DLL 23.08.2002 15:43 201.076 chanwarn.bmp 22.08.2002 14:31 201.076 comwarn.bmp 16.08.2002 21:59 138 ICCLR.INF 12.07.2002 10:29 65.536 DitExp.exe 22.06.2002 00:55 208 Dit.INI 29.04.2002 15:04 917.504 CMIDS3D.DLL 23.11.2001 11:08 712.704 AUDIO3D.DLL Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von C:\ 19.10.2005 21:44 0 sys.txt 19.10.2005 21:43 6.144 system.txt 19.10.2005 21:43 622 systemtemp.txt 19.10.2005 21:41 94.821 system32.txt 19.10.2005 21:37 536.399.872 hiberfil.sys 19.10.2005 21:37 805.306.368 pagefile.sys 05.04.2005 19:10 4.213 log.txt 27.01.2004 08:55 194 boot.ini 20.09.2003 16:50 0 CONFIG.SYS 20.09.2003 16:50 0 IO.SYS 20.09.2003 16:50 0 MSDOS.SYS 20.09.2003 16:50 0 AUTOEXEC.BAT 29.08.2002 14:00 4.952 bootfont.bin 29.08.2002 14:00 47.580 NTDETECT.COM 29.08.2002 14:00 235.296 ntldr 15 Datei(en) 1.342.100.062 Bytes 0 Verzeichnis(se), 69.399.490.560 Bytes frei Gruß Luc |
|
|
|
|
|
|
19.10.2005, 22:08
Ehrenmitglied
Beiträge: 29434 |
#24
ich brauche noch dieses log:
http://virus-protect.org/findqoologic.html und suche bitte: estr.exe (berichte, unter welchem Pfad du es findest) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
19.10.2005, 22:45
Member
Beiträge: 19 |
#25
Hallo Sabina,
die Datei estr.exe-1C6BBAEA.pf ist in C:\Windows\Prefetch eine Datei estr.exe wird nicht gefunden findqoologic ******************************************* C:\Dokumente und Einstellungen\Arnd\Desktop\find_qooligic\qoologic PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished ***************************************** bei findqoologic stehen noch weitere Anweisungen. Soll ich diese Ausführen? Gruß Luc |
|
|
|
|
|
|
19.10.2005, 23:16
Ehrenmitglied
Beiträge: 29434 |
#26
loesche:
estr.exe-1C6BBAEA.pf C:\WINDOWS\system32\oins.exe C:\WINDOWS\system32\wtsit.exe C:\Programme\rsss Online-Scann (Panda)-->poste den Scanreport  http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.10.2005, 21:04
Member
Beiträge: 19 |
#27
Hallo Sabina, Hallo Heron,
habe diese Dateien gelöscht: estr.exe-1C6BBAEA.pf C:\WINDOWS\system32\oins.exe C:\WINDOWS\system32\wtsit.exe C:\Programme\rsss Anschließend habe ich den Online-Scan mit Panda durchgeführt. Hier der Scan-Report: Incident Status Location Dialer:dialer.akd No disinfected C:\Dokumente und Einstellungen\Arnd\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\WinMoviePlugIn.lnk Adware:adware/mirar No disinfected C:\WINDOWS\DOWNLOADED PROGRAM FILES\MirarSetup.exe Adware:adware/mediatickets No disinfected Windows Registry Adware:Adware/MediaTickets No disinfected C:\!Submit\eied_s7.cab[eied_s7_c_26.exe] Adware:Adware/MediaTickets No disinfected C:\!Submit\eied_s7.cab[eied.inf] Adware:Adware/Mirar No disinfected C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MirarSetup.exe Adware:Adware/Mirar No disinfected C:\WINDOWS\Downloaded Program Files\MirarSetup.exe Panda meldet: Malicious software has been found. War es das jetzt? Gruß Arnd |
|
|
|
|
|
|
21.10.2005, 00:18
Ehrenmitglied
Beiträge: 29434 |
#28
KILLBOX
Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\Dokumente und Einstellungen\Arnd\Anwendungsdaten\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\WinMoviePlugIn.lnk C:\!Submit\eied_s7.cab C:\!Submit\eied_s7.cab C:\WINDOWS\Downloaded Program Files\CONFLICT.1\MirarSetup.exe C:\WINDOWS\Downloaded Program Files\MirarSetup.exe PC neustarten -------------------------------------------------------------------------------------------------------------------------------------------------------------------- scanne mit ewido und poste den Scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.10.2005, 22:30
Member
Beiträge: 19 |
#29
Hallo Sabina,
anbei der ewido scan report: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 22:18:43, 22.10.2005 + Report-Checksumme: BD65A6CD + Scanergebnis: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/MediaTicketsInstaller.ocx\\.Owner -> Spyware.PurityScan : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/MediaTicketsInstaller.ocx\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/mfc42.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/msvcrt.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/olepro32.dll\\{9EB320CE-BE1D-4304-A081-4B4665414BEF} -> Spyware.PurityScan : Gesäubert mit Backup C:\Dokumente und Einstellungen\Arnd\Cookies\arnd@adtech[1].txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\Arnd\Cookies\arnd@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Arnd\Cookies\arnd@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Cookies\regina@adtech[2].txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Cookies\regina@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Cookies\regina@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Lokale Einstellungen\Temp\Cookies\regina@e-2dj6wfkiomdpebq.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Lokale Einstellungen\Temp\Cookies\regina@e-2dj6wfliukdjeco.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Lokale Einstellungen\Temp\Cookies\regina@e-2dj6wfmieocjwgq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Lokale Einstellungen\Temp\Cookies\regina@e-2dj6wjlooodzggp.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Lokale Einstellungen\Temp\Cookies\regina@e-2dj6wjmyglczmfp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Regina\Lokale Einstellungen\Temp\Cookies\regina@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-653522753-2194073629-3914116275-1008\Dc1.txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-653522753-2194073629-3914116275-1008\Dc2.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-653522753-2194073629-3914116275-1008\Dc5.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup ::Report Ende Gruß Luc |
|
|
|
|
|
|
22.10.2005, 23:58
Ehrenmitglied
Beiträge: 29434 |
#30
womit der Spyware.PurityScan geloescht sein sollte
http://virus-protect.org/counterspy.html Klicke: "Run a Spyware Scan Now" - nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe Ad-Aware installiert und Ad-Aware 3mal scannen lassen. Am Ende meldet das Programm: "2 Negligible Objects"
Habe Spybot S&D1.4 2mal scannen lassen. Zum Schluss meldet das Programm: "Es wurden keine Spione gefunden."
Dann habe ich eScanCheck installiert.
Zur Prammausführung muss Windows XP im abgesicherten Modus gestartet werden. habe ich gemacht. Anschließend habe ich das Programm gestartet. Daraufhin meldet das Programm: " eScanCheck110.exe hat ein Problem festgestellt und muss beendet werden."
Nun weiß ich nicht mehr weiter. Welche weitere Vorgehensweise schlägst Du vor?
Wie bewertest Du den Hinweis von Sabina?
Gruß
Arnd