Bekomme W32/Nsag.B nicht weg!

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.10.2005, 10:20
...neu hier

Beiträge: 1
#1 Hi, ich fahre Win2000 mit SP4. AntiVir findet den W32/Nsag.B zwar jedesmal kommt aber mit der Meldung kann erst nach Neustart gelöscht werden. Tja und nach dem Neustart wird er gelöscht und is das nächste mal wieder hier.

Hier mein Log (HijackThis):

Logfile of HijackThis v1.98.2
Scan saved at 10:06:01, on 14.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\popuper.exe
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\msole32.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\HideOutlook.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
G:\Backup\Progs\TaskClock\TClock.exe
C:\WINNT\system32\intmon.exe
C:\Programme\myIE\MyIE.exe
G:\Backup\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINNT\system32\PowerDesk8\Matrox.PowerDesk.exe /silent
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [HideOutlook] "C:\Programme\HideOutlook.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: TClock.exe.lnk = G:\Backup\Progs\TaskClock\TClock.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\PANTONE COLORVISION\Spyder2PRO\ColorVisionStartup.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{99ACC29A-CA2B-4218-A9D4-810F83DAA9FB}: NameServer = 195.58.160.2,195.3.96.67

Hoffe mir kann jemad weiterhelfen danke schon mal im voraus.
Lg Chriskenobi
Dieser Beitrag wurde am 14.10.2005 um 10:38 Uhr von Chriskenobi editiert.
Seitenanfang Seitenende
14.10.2005, 15:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Chriskenobi

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - (no file)

PC neustarten

kopiere hier die 4 Logs...2 Monate vom Datum her reichen
http://virus-protect.org/datfindbat.html

Zitat

sammlung ;) den rest sehe ich, wenn du die 4 Logs postest...
C:\WINNT\popuper.exe
C:\WINNT\system32\msmsgs.exe
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\msole32.exe
C:\WINNT\system32\intmon.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.01.2006, 22:19
...neu hier

Beiträge: 3
#3 Hi! Hab auch besagten W32/Nsag.B :-(
Bin hier am Verzweifeln..
Also poste denn mal die 4 Logs, hoffe mir kann noch geholfen werden...
Mfg
Sukie

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: C89C-A4A9

Verzeichnis von C:\WINDOWS\system32

03.01.2006 21:52 1.406 Help.ico
03.01.2006 21:52 1.718 Open.ico
03.01.2006 21:52 2.550 Uninstall.ico
03.01.2006 21:52 5.350 IE.ico
03.01.2006 21:52 1.406 AddQuit.ico
03.01.2006 21:52 9.470 Desktop.ico
03.01.2006 21:52 1.718 Quick.ico
03.01.2006 20:53 64.598 perfc007.dat
03.01.2006 20:53 53.608 perfc009.dat
03.01.2006 20:53 383.254 perfh009.dat
03.01.2006 20:53 906.552 PerfStringBackup.INI
03.01.2006 20:53 394.500 perfh007.dat
03.01.2006 20:50 22.602 nvapps.xml
03.01.2006 20:47 36.007 vsconfig.xml
03.01.2006 19:00 4.212 zllictbl.dat
30.12.2005 06:51 0 ipyc32.exe
26.12.2005 08:31 0 iesf.exe
24.12.2005 22:32 13.581 nezeo.dat
24.12.2005 00:38 2.206 wpa.dbl
21.12.2005 12:13 0 atlmk.exe
21.12.2005 06:03 0 appbm.exe
14.12.2005 19:40 11.895 netsf.exe
14.12.2005 10:34 0 addor32.exe
09.12.2005 11:45 11.895 netyx32.exe
09.12.2005 01:21 2.723.680 MRT.exe
06.12.2005 22:53 0 oeminfo.ini
01.12.2005 04:31 1.492.480 shdocvw.dll
29.11.2005 18:37 664 d3d9caps.dat
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
19.11.2005 15:26 227.208 FNTCACHE.DAT
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
24.10.2005 17:38 98.304 CmdLineExt.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
20.10.2005 15:15 34.064 lhacm.acm
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
13.10.2005 00:11 15.584 spmsg.dll
13.10.2005 00:11 118.784 sirenacm.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: C89C-A4A9

Verzeichnis von C:\DOKUME~1\Sukie\LOKALE~1\Temp

03.01.2006 21:31 512 ~DFEBB.tmp
03.01.2006 21:31 16.384 ~DFEB0.tmp
03.01.2006 20:52 512 ~DFEE39.tmp
03.01.2006 20:52 16.384 ~DFEE2E.tmp
03.01.2006 20:51 0 JET2.tmp
02.01.2006 22:40 20.087 108.tmp.exe
6 Datei(en) 53.879 Bytes
0 Verzeichnis(se), 924.876.800 Bytes frei


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: C89C-A4A9

Verzeichnis von C:\WINDOWS

03.01.2006 20:58 1.116 wincmd.ini
03.01.2006 20:49 159 wiadebug.log
03.01.2006 20:49 2.048 bootstat.dat
03.01.2006 20:48 1.576.941 WindowsUpdate.log
03.01.2006 19:03 32.568 SchedLgU.Txt
03.01.2006 19:03 50 wiaservc.log
03.01.2006 19:03 12 bthservsdp.dat
02.01.2006 22:35 1.430 warnhp.html
02.01.2006 22:28 1.409 QTFont.for
02.01.2006 22:28 54.156 QTFont.qfn
02.01.2006 20:14 116 NeroDigital.ini
02.01.2006 17:29 0 yttiik.dat
02.01.2006 16:04 23.745 stub13.ini
02.01.2006 15:01 23.567 stub12.ini
02.01.2006 14:54 23.501 stub11.ini
02.01.2006 14:42 23.416 stub10.ini
02.01.2006 14:40 23.496 stub9.ini
02.01.2006 14:38 23.318 stub8.ini
02.01.2006 14:37 23.344 stub7.ini
02.01.2006 14:37 23.619 stub6.ini
02.01.2006 14:37 23.500 stub5.ini
02.01.2006 14:29 23.246 stub4.ini
02.01.2006 14:28 23.166 stub3.ini
02.01.2006 14:27 22.711 stub2.ini
02.01.2006 13:47 22.854 stub1.ini
01.01.2006 04:01 155 winamp.ini
01.01.2006 00:20 11.895 wtwhhw.txt
01.01.2006 00:20 35.447 pthmkg.txt
01.01.2006 00:20 13.581 ansfgt.txt
31.12.2005 10:58 1.199 logs1.ini
29.12.2005 19:03 356 videodeLuxe.INI
27.12.2005 06:51 0 iphg32.exe
26.12.2005 06:35 0 appvv32.exe
24.12.2005 03:10 0 winpl.exe
23.12.2005 05:53 133.791 zncbnd.dat
23.12.2005 05:53 11.895 zfhdqh.dat
23.12.2005 03:20 0 javagr.exe
21.12.2005 20:46 0 msgm32.exe
19.12.2005 16:35 23.215 Run32A50.mch
19.12.2005 16:25 35 A5W.INI
19.12.2005 03:34 0 apibd32.exe
17.12.2005 15:46 0 apibg32.exe
17.12.2005 07:19 133.791 zeboke.dat
15.12.2005 10:42 133.791 jhdqyp.dat
13.12.2005 20:12 0 msyy32.exe
10.12.2005 00:45 0 apivz32.exe
07.12.2005 18:25 11.895 zxhquh.dat
07.12.2005 04:13 0 logs2.ini
29.11.2005 18:52 0 Sti_Trace.log
02.11.2005 15:57 259 game.ini
23.10.2005 22:26 4.096 d3dx.dat


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: C89C-A4A9

Verzeichnis von C:\

03.01.2006 22:19 0 sys.txt
03.01.2006 22:18 6.716 system.txt
03.01.2006 22:18 525 systemtemp.txt
03.01.2006 22:15 106.496 system32.txt
03.01.2006 20:49 805.306.368 PAGEFILE.SYS
27.10.2005 23:07 315 Sukie.ler


So, hoffe das so richtig...
Und schon mal schönen Dank für die Hilfe...

Hier noch der Hijack Log

Logfile of HijackThis v1.99.1
Scan saved at 22:23:50, on 03.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\netyx32.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Aqua Dock\Aqua Dock.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\DOKUME~1\Sukie\LOKALE~1\Temp\108.tmp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\SEC\MagicTune 2.5\GammaTray.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
J:\windoof\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - D:\Spiele\Yetisports\IEButtonYetiSportsEBayInterface.dll
O2 - BHO: Class - {24E085E6-A513-1BB9-B89C-40092BAEC3AE} - C:\WINDOWS\system32\addwu32.dll (file missing)
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: Class - {EF3DBF8F-82AE-7C37-9E41-FF6768F169E3} - C:\WINDOWS\mfcug32.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Aqua Dock] C:\Programme\Aqua Dock\Aqua Dock.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sdkwm.exe] C:\WINDOWS\system32\sdkwm.exe
O4 - HKLM\..\Run: [108.tmp] C:\DOKUME~1\Sukie\LOKALE~1\Temp\108.tmp.exe
O4 - HKLM\..\Run: [109.tmp] C:\DOKUME~1\Sukie\LOKALE~1\Temp\109.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [108.tmp.exe] C:\DOKUME~1\Sukie\LOKALE~1\Temp\108.tmp.exe
O4 - HKLM\..\Run: [109.tmp.exe] C:\DOKUME~1\Sukie\LOKALE~1\Temp\109.tmp.exe
O4 - HKLM\..\Run: [addwu32.exe] C:\WINDOWS\system32\addwu32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Color Calibration.lnk = C:\Programme\SEC\MagicTune 2.5\GammaTray.exe
O4 - Global Startup: MagicTune3.5.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{127E68DD-3CF4-4F49-8AB0-20E82D915870}: NameServer = 195.50.140.114 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{127E68DD-3CF4-4F49-8AB0-20E82D915870}: NameServer = 195.50.140.114 145.253.2.203
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Konfigurationsfreie drahtlose Verbindung (WZCSVC) - Unknown owner - % (file missing)
Dieser Beitrag wurde am 03.01.2006 um 22:26 Uhr von Sukie editiert.
Seitenanfang Seitenende
04.01.2006, 02:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Sukie

Information:
http://virus-protect.org/artikel/spyware/trojanagent2.html
http://virus-protect.org/artikel/spyware/trojanagenteo.html

----------------------------------------------------------------------

gehe in die registry
start--> Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage" <--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uspty.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing

O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - D:\Spiele\Yetisports\IEButtonYetiSportsEBayInterface.dll
O2 - BHO: Class - {24E085E6-A513-1BB9-B89C-40092BAEC3AE} - C:\WINDOWS\system32\addwu32.dll (file missing)
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O4 - HKLM\..\Run: [sdkwm.exe] C:\WINDOWS\system32\sdkwm.exe
O4 - HKLM\..\Run: [108.tmp] C:\DOKUME~1\Sukie\LOKALE~1\Temp\108.tmp.exe
O4 - HKLM\..\Run: [109.tmp] C:\DOKUME~1\Sukie\LOKALE~1\Temp\109.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [108.tmp.exe] C:\DOKUME~1\Sukie\LOKALE~1\Temp\108.tmp.exe
O4 - HKLM\..\Run: [109.tmp.exe] C:\DOKUME~1\Sukie\LOKALE~1\Temp\109.tmp.exe
O4 - HKLM\..\Run: [addwu32.exe] C:\WINDOWS\system32\addwu32.exe

O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{127E68DD-3CF4-4F49-8AB0-20E82D915870}: NameServer = 195.50.140.114 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{127E68DD-3CF4-4F49-8AB0-20E82D915870}: NameServer = 195.50.140.114 145.253.2.203

O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - C (file missing)
O23 - Service: Remote-Registrierung (RemoteRegistry) - Unknown owner - % (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Konfigurationsfreie drahtlose Verbindung (WZCSVC) - Unknown owner - % (file missing)


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ipyc32.exe
C:\WINDOWS\system32\iesf.exe
C:\WINDOWS\system32\nezeo.dat
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\atlmk.exe
C:\WINDOWS\system32\appbm.exe
C:\WINDOWS\system32\netsf.exe
C:\WINDOWS\system32\addor32.exe
C:\WINDOWS\system32\netyx32.exe
C:\WINDOWS\system32\addwu32.exe
C:\WINDOWS\system32\sdkwm.exe
C:\WINDOWS\system32\uspty.dll

C:\DOKUME~1\Sukie\LOKALE~1\Temp\108.tmp.exe
C:\DOKUME~1\Sukie\LOKALE~1\Temp\109.tmp.exe

C:\WINDOWS\bthservsdp.dat
C:\WINDOWS\warnhp.html
C:\WINDOWS\yttiik.dat
C:\WINDOWS\stub13.ini
C:\WINDOWS\stub12.ini
C:\WINDOWS\stub11.ini

ohne das datum in die killbox kopieren ;)

02.01.2006 14:42 23.416 C:\WINDOWS\stub10.ini
02.01.2006 14:40 23.496 C:\WINDOWS\stub9.ini
02.01.2006 14:38 23.318 C:\WINDOWS\stub8.ini
02.01.2006 14:37 23.344 C:\WINDOWS\stub7.ini
02.01.2006 14:37 23.619 C:\WINDOWS\stub6.ini
02.01.2006 14:37 23.500 C:\WINDOWS\stub5.ini
02.01.2006 14:29 23.246 C:\WINDOWS\stub4.ini
02.01.2006 14:28 23.166 C:\WINDOWS\stub3.ini

C:\WINDOWS\stub2.ini
C:\WINDOWS\stub1.ini
C:\WINDOWS\wtwhhw.txt
C:\WINDOWS\pthmkg.txt
C:\WINDOWS\ansfgt.txt
C:\WINDOWS\logs1.ini
C:\WINDOWS\iphg32.exe
C:\WINDOWS\appvv32.exe
C:\WINDOWS\winpl.exe
C:\WINDOWS\zncbnd.dat
C:\WINDOWS\zfhdqh.dat
C:\WINDOWS\javagr.exe
C:\WINDOWS\msgm32.exe

C:\WINDOWS\apibd32.exe
C:\WINDOWS\apibg32.exe
C:\WINDOWS\zeboke.dat
C:\WINDOWS\jhdqyp.dat
C:\WINDOWS\msyy32.exe
C:\WINDOWS\apivz32.exe
C:\WINDOWS\zxhquh.dat
C:\WINDOWS\logs2.ini
C:\WINDOWS\d3dx.dat

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


ADSSpy --> loesche alle Streams
http://virus-protect.org/artikel/tools/ADSSpy.exe

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden--> in den abgesicherten Modus booten --> öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)suche smitfiles.txt --> Kopiere sie hier

deinstalliere/loesche:
C:\Programme\WinHound
C:\Programme\Mindjet
----------------------------------------------------------------------------
deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

Download FixWareout:
--> kopiere den scanreport ab
http://swandog46.geekstogo.com/Fixwareout.exe

multiavtool
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

kopiere hier die drei scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.02.2006, 14:11
Member

Beiträge: 14
#5 hallo..ich hab ein derbes problem..ich hab den blöden W32/Nsag.B virus..bei antivir steht der wird nach neustart gelöscht..aber später is er wieder da...
nd das schlimme ich habe null plan von sowas....kann mir jemand helfen..liebe grüße cheri
Seitenanfang Seitenende
28.02.2006, 15:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Cheri

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.02.2006, 18:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Cheri du musst korrekt arbeiten und alles genau lesen, ich sprach von 4 Logs und ich moechte auch den Pfad oberhalb der logs haben.

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.02.2006, 22:01
Member

Beiträge: 14
#8 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30C8-2A6E

Verzeichnis von C:\WINDOWS\system32

24.02.2006 19:12 1.632 d3d8caps.dat
23.02.2006 13:55 2.184 wpa.dbl
12.02.2006 17:33 6.176 t1t.exe
09.02.2006 17:28 7.168 Thumbs.db
03.02.2006 21:18 0 tt.exe
03.02.2006 20:06 7.641 per.exe

18.01.2006 23:27 53.352 jpicpl32.cpl
18.01.2006 23:27 28.768 javaw.exe
18.01.2006 23:27 24.670 java.exe
18.01.2006 20:35 111.784 FNTCACHE.DAT
18.01.2006 17:45 311.604 perfh009.dat
18.01.2006 17:45 39.992 perfc009.dat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30C8-2A6E

Verzeichnis von C:\DOKUME~1\Cher\LOKALE~1\Temp

28.02.2006 21:55 0 1C8E54B.dmp
28.02.2006 17:56 16.384 ~DF5DA4.tmp
28.02.2006 17:56 16.384 ~DF5D8B.tmp
28.02.2006 17:56 16.384 ~DF5D70.tmp
28.02.2006 17:56 16.384 ~DF5D56.tmp
28.02.2006 17:56 16.384 ~DF5774.tmp
28.02.2006 17:56 16.384 ~DF50EA.tmp
28.02.2006 17:39 0 aax3D.tmp
28.02.2006 17:08 10.670 ICQ3A.tmp
28.02.2006 17:07 10.660 ICQ39.tmp
28.02.2006 17:07 4.092 ICQ38.tmp
28.02.2006 17:03 11.860 ICQ37.tmp
28.02.2006 17:03 12.613 ICQ36.tmp
28.02.2006 17:03 4.449 ICQ35.tmp
28.02.2006 17:03 13.304 ICQ34.tmp
28.02.2006 17:03 4.590 ICQ33.tmp
28.02.2006 15:56 16.384 Perflib_Perfdata_63c.dat
28.02.2006 15:44 0 75E69E.dmp
28.02.2006 15:43 0 7500F3.dmp
23.02.2006 05:55 245 1F1205F7.TMP
20 Datei(en) 187.171 Bytes
0 Verzeichnis(se), 895.115.264 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30C8-2A6E

Verzeichnis von C:\WINDOWS

28.02.2006 20:22 95 winamp.ini
28.02.2006 16:58 159 wiadebug.log
28.02.2006 16:58 50 wiaservc.log
28.02.2006 15:37 1.666.053 WindowsUpdate.log
28.02.2006 15:07 26 Lic.xxx
28.02.2006 13:38 0 0.log
28.02.2006 13:36 2.048 bootstat.dat
28.02.2006 13:35 32.446 SchedLgU.Txt
28.02.2006 13:10 442.146 setupapi.log
26.02.2006 14:09 3.584 uninstDsk.exe
26.02.2006 14:09 1.431 warnhp.html
20.02.2006 22:19 74.240 Thumbs.db
20.02.2006 20:03 59 control.ini
20.02.2006 20:02 2.258.432 FF8_SA~1.SCR
12.02.2006 14:59 34 cdplayer.ini
12.02.2006 14:49 36.792 svcpack.log
06.02.2006 19:43 6.036 switchagreement.txt
06.02.2006 19:43 1 imsins_.bin
06.02.2006 19:43 113 KB842252.log
19.01.2006 21:39 178.591 setupact.log
18.01.2006 19:30 14.811 wmsetup.log
18.01.2006 19:29 316.640 WMSysPr9.prx
18.01.2006 18:22 28.604 xpsp1hfm.log
18.01.2006 18:22 165.741 iis6.log
18.01.2006 18:22 46.173 comsetup.log
18.01.2006 18:22 26.258 ntdtcsetup.log
18.01.2006 18:22 52.310 tsoc.log
18.01.2006 18:22 35.838 KB835732.log
18.01.2006 18:22 1.374 imsins.log
18.01.2006 18:22 4.245 ocmsn.log
18.01.2006 18:22 5.426 msgsocm.log
18.01.2006 18:22 50.017 ocgen.log
18.01.2006 18:22 104.273 FaxSetup.log
18.01.2006 18:21 38.258 msmqinst.log
18.01.2006 18:20 1.374 imsins.BAK
18.01.2006 18:20 26.648 Q810833.log
18.01.2006 18:19 24.003 KB834707-IE6-20040929.115007.log
18.01.2006 18:17 23.114 KB828741.log
18.01.2006 18:16 13.364 Q329834.log
18.01.2006 18:15 14.785 KB823559.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 30C8-2A6E

Verzeichnis von C:\

28.02.2006 22:00 0 sys.txt
28.02.2006 21:59 5.246 system.txt
28.02.2006 21:59 1.216 systemtemp.txt
28.02.2006 21:58 90.041 system32.txt
28.02.2006 15:38 0 asfds
28.02.2006 13:36 133.746.688 hiberfil.sys
28.02.2006 13:36 201.326.592 pagefile.sys
23.02.2006 17:56 3.784.013 gtk+-2.8.9-setup-1.zip
20.02.2006 22:14 25.600 Thumbs.db
06.02.2006 19:45 14 config.sy_
18.01.2006 17:19 0 CONFIG.SYS
18.01.2006 17:19 0 AUTOEXEC.BAT
18.01.2006 17:19 0 IO.SYS
18.01.2006 17:19 0 MSDOS.SYS
18.01.2006 17:08 194 boot.ini
18.08.2001 13:00 45.124 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 224.032 ntldr
18 Datei(en) 339.253.712 Bytes
0 Verzeichnis(se), 895.115.264 Bytes frei


so da sind die 4 logs..hoffe nu..das man damit was anfangen kann..liebe grüße cheri
Dieser Beitrag wurde am 28.02.2006 um 22:06 Uhr von Cheri editiert.
Seitenanfang Seitenende
01.03.2006, 14:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Cheri

Start-->Ausfuehren --> regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\

gestrip.com\secure <--berichte, ob du das findest

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\

randhi.com\update <--berichte, ob du das findest

ist fuer mich:

http://www.sophos.de/virusinfo/analyses/trojhogdowne.html

------------------------------------------------------------------

KILLBOX - Pocket KillBox

http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: (von hier aus)

C:\WINDOWS\system32\t1t.exe
C:\WINDOWS\system32\tt.exe
C:\WINDOWS\system32\per.exe
C:\WINDOWS\uninstDsk.exe
C:\asfds
C:\WINDOWS\warnhp.html

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell


SmitRem2.8 --> auf dem Desktop entpacken
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt)
* öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
boote wieder in den Normalmodus, und suche die suche smitfiles.txt --> poste sie hier


poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.03.2006, 14:42
Member

Beiträge: 14
#10 bei internet settings öffnet sich ein fesnter wo steht...

name / typ / wert
(Standard) / REG_SZ / (wert nicht gesetzt)
ProxyEnable / REG_DWORD / 0X00000000 (0)

von zone map und domains steht da nix weiter..

gruß cheri
Dieser Beitrag wurde am 01.03.2006 um 14:51 Uhr von Cheri editiert.
Seitenanfang Seitenende
01.03.2006, 14:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.03.2006, 15:04
Member

Beiträge: 14
#12 ok..mal sehn ob es was wird

doof wenn man sich mit nix auskennt....aber wird schon..cheri
Seitenanfang Seitenende
01.03.2006, 15:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 den braun gekennzeichneten ;)

regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.03.2006, 15:08
Member

Beiträge: 14
#14 ja der braun gekenzeichnete stand erts dort nit..hab mich schon gewundert..so da...


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]
@=""


ist das der richtige text,,denk schon ..oder?gruß cheri
Dieser Beitrag wurde am 01.03.2006 um 16:29 Uhr von Cheri editiert.
Seitenanfang Seitenende
01.03.2006, 17:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 *

du kannst auch schon das andere abarbeiten ;) also, Killbox und smitrem (poste mir dann den scanreport von smitrem)

---------------------------------------------------------------------

wenn dann alles erledigt ist ...mache folgendes:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap"

Speichern als: Testneu.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Testneu.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: