AdWare auf dem PC/ Ständig neue Tabs in Firefox |
||
---|---|---|
#0
| ||
30.10.2005, 13:04
...neu hier
Beiträge: 7 |
||
|
||
30.10.2005, 13:12
Moderator
Beiträge: 7805 |
#2
Fix bitte das:
O4 - HKCU\..\Run: [fmok] C:\PROGRA~1\COMMON~1\fmok\fmokm.exe Dazu dann noch bitte die Trial von Spy sweeper nutzen trojaner-board.de/showpost.php?p=172669&postcount=2 Schreib bitte, was es gefunden/gereinigt hat. Nutze auh noch die Datentraegerbereinigung http://support.microsoft.com/default.aspx?scid=kb;de;315246, mache einen Kontroll onlinescan mit Kaspersky: http://www.kaspersky.com/virusscanner __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.10.2005, 14:45
...neu hier
Themenstarter Beiträge: 7 |
#3
Danke Ralf!
Schaut nicht schlecht aus - Firefox ist von der Tollwut wieder befreit... "O4 - HKCU\..\Run: [fmok] C:\PROGRA~1\COMMON~1\fmok\fmokm.exe" hab ich gelöscht Spy Sweeper findet folgedes: The Spy Communication shield has blocked access to: www.ad-w-a-r-e.com Adware found: ist yoursitebar Adware found: icannnews Spy Cookie found: falkag cookie Spy Cookie found: atlas dmt cookie Dann verlangt Spy Sweeper, den Rechner neu zu starten. Nach dem Neustart findet er zwei BHO-Objekte: SWDOCTOR.EXE SDHELP.EXE iesdpb.dll Diese Dinger wollen den Browser starten. Die freie Version von Spy Sweeper will die Teile nicht löschen können - ich kaufe also Spy Sw für 30$. Nach dem Lizensieren killt Spy Sweeper die drei Dinger anscheindend von alleine, ich finde die Programme auf jede Fall nicht mehr auf meinem Lap, Firefox hat sich beruhigt... Was ich spannend finde: Warum sind Norman, AdAware, Spyware Doctor alle überfordert und finden nichts - ist Spy Sweeper so viel besser? Und ist es neu, dass auch Firefox infisziert wird? Hab immer gedacht, ich sei da auf der sicheren Seite. gruss, tom |
|
|
||
30.10.2005, 14:54
Moderator
Beiträge: 7805 |
#4
Oh, Spysweeper haettest du nicht kaufen brauchen, aber ein Fehlkauf ist es auch nicht. Es gehoert schon zu den besten Produkten, man sollte ihm aber, genau wie bei anderen Programmen auch, nicht blind vertrauen!
Firefox war wohl nicht direkt infiziert, es ist nur so, das Spy/Adware einfach hingeht und dem Betriebsystem sagt,"oeffne diese Seite" und dann wird mit dem Programm die Seite geoeffnet, welches als Standard eingetragen ist. Ist es firefox, dann wird der gestartet. Poste bitte noch ein neues Hijackthis log BTW: SWDOCTOR.EXE SDHELP.EXE iesdpb.dll Sind Teile von Spyware doctor! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.10.2005, 15:22
...neu hier
Themenstarter Beiträge: 7 |
#5
Ach so - Teile von Spyware doctor!
Langsam wird es vor lauter "Sicherheitsmassnahmen" für mich immer schwieriger, im Schlachtgetümmel die Bösen von den Lieben zu unterscheiden ;-) Soll ich den Spyware doctor deinstallieren - oder lassen sich die unbehelligt? Zz. läuft der Kapersky - hier vorab das neue Logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:15:16, on 30.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Norman\Bin\Zanda.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\Norman\Nvc\BIN\nipsvc.exe C:\Norman\bin\NJEEVES.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Norman\bin\ZLH.EXE C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\Programme\D-Tools\daemon.exe C:\Norman\Nvc\BIN\NIP.EXE C:\Programme\Babylon\Babylon.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\WINDOWS\System32\svchost.exe C:\Norman\Nvc\bin\cclaw.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe P:\programme_zip\hijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hof3.local O17 - HKLM\Software\..\Telephony: DomainName = hof3.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hof3.local O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
30.10.2005, 15:29
Moderator
Beiträge: 7805 |
#6
Ich wuerde Spydoctor deinstallieren, zumindest alle Teile deaktivieren, die beim Start ausgefuehrt werden, damit es keinen konflikt zwischen deinen Antispy Programme gibt.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.10.2005, 15:54
...neu hier
Themenstarter Beiträge: 7 |
#7
ups, Kaspersky entdeckt zwei weitere Sachen:
C:\DOKUME~1\TOM~1.HOF\LOKALE~1\Temp\GLF37DGLF37D.EXE/WISE0007.BIN Infected: Trojan-Downloader.Win32.TSUpdate.j C:\DOKUME~1\TOM~1.HOF\LOKALE~1\Temp\GLF37DGLF37D.EXE Infected: Trojan-Downloader.Win32.TSUpdate.j Wie lösche ich GLF37DGLF37D.EXE sauber? (spydoctoer deinstalliert - danke für die Hilfe) ;-)tom |
|
|
||
30.10.2005, 15:58
Moderator
Beiträge: 7805 |
#8
Du kannst die Datentraegerbereinigung nehmen, du kannst es aber auch mit cleaner machen. www.ccleaner.com
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.10.2005, 16:29
...neu hier
Themenstarter Beiträge: 7 |
#9
Alles klar!
CCcleaner gefällt mir - hat 80MB gelöscht... Ralf, ich stosse auf Dich an - opferst Deinen Sonntag, um Leuten zu helfen, die sich bei fahrlässigem Internetverkehr infiszieren! Astalavista- so hartnäckig wurde mir noch nie was untergejubelt... Ein grossens Danke! gruss, tom ..und doch noch eine Frage/Bemerkung: Hab gedacht, wenn ich schon am durchtschecken bin, lass ich noch den Norman drüberlaufen. Norman findet in c/system volume information/_restore [ziemlich viele zahlen...]/A00008784.exe Werbung W32Isearch.e und am selben Ort Werbung:W32/SurfAccuracy.F Die waren schon vor zwei Tagen da, und ich komme an die "Syseminformation" nicht ran. Norman stellt die Dinger in Quarantäne, aber sie tauchen anscheinend wieder auf. Nun stören sie mich nicht mehr, da ich Ralf sei Dank wieder in Ruhe surfen und arbeite kann. Allerdings staunen ich, wo sich Malware so überall versteckt... ;-)tom Dieser Beitrag wurde am 30.10.2005 um 16:53 Uhr von tom hof3 editiert.
|
|
|
||
31.10.2005, 18:37
Moderator
Beiträge: 7805 |
#10
Oh, habe dein Posting fast ueberlesen. Du musst die Systemwiederherstellung deaktivieren, neu starten und wieder aktivieren:
http://www.bsi.bund.de/av/texte/wiederher.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.01.2006, 16:14
...neu hier
Beiträge: 2 |
#11
ich habe das selbe problem, firefox (mein Standardbrowser) will auch immer auf www.ad-w-a-r-e.com zugreifen.
kaspersky und Spybot finden nix. ich poste gleich mal das hijacklog: Zitat Logfile of HijackThis v1.99.1Danke falls sich jemand dieser sache annimmt, und freundliche Grüsse Dieser Beitrag wurde am 12.01.2006 um 21:47 Uhr von roycele editiert.
|
|
|
||
13.01.2006, 13:40
Ehrenmitglied
Beiträge: 29434 |
#12
roycele
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [LastLogin] C:\Programme\SecureCenterXP\SecureUserInfo O20 - Winlogon Notify: RunServices - C:\WINDOWS\system32\f40o0ed3eh0.dll ------------------------------------------------------------------------ nimm diese Eintraege ebenfalls aus dem Autostart...haben dort nichts verloren O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O18 - Protocol: bw+0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw+0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: bwg0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwg0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0s - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: offline-8876480 - {1988C380-87A6-46DC-9AA5-63A5FB0596B1} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll PC neustarten was ist das fuer ein Programm ?? Wo hast du das geladen ?? C:\Programme\SecureCenterXP -------------------------------------------------------------- L2MRemover.zip - Look2Me Remover http://virus-protect.org/l2mfix.html http://www.simplytech.it/L2MRemover/index_de.htm Entpacke das Programm mit einem Ziptool in den neu zu erstellenden Ordner C:\Programme\Look2meRemover. 1. Klicke auf die L2MRemover.exe, um das Programm zu starten. 2. Klicke auf "About" "Check for updates..." im Menu des Programms und aktualisiere das Programm. 3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen. (Wenn es eine bekannte Variante der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem es den ST-Code während des Scannens in die Malware injiziert. Dann wird es die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.) 4. Betätige den "Delete Keys" Button, um die Registry von den Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem Neustart wieder neu auflädt. (Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst du ein Häkchen setzen bei "Save before delete", damit ein Backuo-File *.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel neu erstellen möchtest.) Hinweis: Der "Look2me Remover" entfernt nur die Variationen der Look2Me Malware, die seit November 2005 im Umlauf sind. 5. Speichere das Logfile des Removers. ----------------------------------------------------------------- stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Hoster.zip -> anwenden http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program L2mfix http://www.downloads.subratam.org/l2mfix.exe arbeite Option 2 ab , und nach neustart und scan kopiere hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 11:14
...neu hier
Beiträge: 4 |
#13
Hi, ich hab auch ein prob mit look2me (seit dem 12 januar)...
über google hab ich dieses forum hier gefunden und habe auch schon alle erwähnten schritte ausgeführt (Hijackthis, cleanup, killbox...) nur leider kann ich den look2remover (http://www.simplytech.it/L2MRemover/index_de.htm) bzw den look2mefix nicht ausführen. beim remover bekomm ich immer nen bluescreen, wo steht, dass das prog in die schreibgeschützte engine (sys oder dll) schreiben wollte (oder so ähnlich). das selbe kommt auch im abgesicherten modus (nur ma so ) den l2mfix kann ich ebenfalls nicht ausführen, da folgende meldung kommt: c.\windows\system32\cmd.exe config.nt. die systemdatei is nicht geeignet, um anwendungen für ms-do oder M$ windows auszuführen. klicken sie auf schließen um die anwendung zu beenden. das kommt bei recht vielen progs, seit ich diesen look2me rotz draufhab. die ganzen viren, trojaner etc die ich durch look2me bekommen hab, sind alle weg und nachdem ich die schritte von sabina noch gemacht habe, öffnen sich keine popups mehr, es scheint also das schlimmste weg zu sein. aber ich würde schon ganz gern eines der beiden l2m teile anwenden, leider geht das nicht. hat irgendwer ne ahnung, warum das so is ? (falls es von nöten ist, ich habe noch die ganzen logs von datfind.bat und list.bat, sowie nen hijack log...und auch ne liste mit dateien die ich mit killbox gelöscht habe.) |
|
|
||
14.01.2006, 14:55
Ehrenmitglied
Beiträge: 29434 |
#14
Smelli
kopiere hier die aktuellen Daten von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.01.2006, 20:05
...neu hier
Beiträge: 4 |
#15
ok, hier die aktuellen listen (dateien ab dem 1.12.05):
Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 10AC-877C Verzeichnis von C:\ 15.01.2006 20:04 0 sys.txt 15.01.2006 20:03 19.162 system.txt 15.01.2006 20:03 921 systemtemp.txt 15.01.2006 20:03 109.341 system32.txt 14.01.2006 15:37 188 boot.ini 14.01.2006 10:45 1.073.741.824 pagefile.sys 05.01.2006 01:10 251.712 ntldr 05.01.2006 00:33 47.564 NTDETECT.COM 05.01.2006 00:21 171 BOOT.BKK 30.11.2005 14:03 95 hf.path 21.11.2005 19:12 0 itouch_crash_info.txt 21.11.2005 16:24 0 CONFIG.SYS 21.11.2005 16:24 0 MSDOS.SYS 21.11.2005 16:24 0 IO.SYS 21.11.2005 16:24 0 AUTOEXEC.BAT 18.08.2001 11:00 4.952 bootfont.bin 16 Datei(en) 1.074.175.930 Bytes 0 Verzeichnis(se), 2.909.184.000 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 10AC-877C Verzeichnis von C:\WINDOWS 15.01.2006 19:08 116 NeroDigital.ini 14.01.2006 16:01 160.544 setupapi.log 14.01.2006 15:37 558 win.ini 14.01.2006 15:37 227 system.ini 14.01.2006 11:24 32 pavsig.txt 14.01.2006 10:46 0 0.log 14.01.2006 10:45 2.048 bootstat.dat 14.01.2006 10:42 3.865 WindowsUpdate.log 14.01.2006 10:40 102.312 ntbtlog.txt 13.01.2006 18:55 107.132 UninstallFirefox.exe 13.01.2006 18:55 7.286 mozver.dat 13.01.2006 11:57 68.396 wmsetup.log 05.01.2006 16:38 1.409 QTFont.for 05.01.2006 16:38 54.156 QTFont.qfn 05.01.2006 16:03 376 wmsetup10.log 05.01.2006 14:42 368.403 DirectX.log 05.01.2006 05:52 1.355 imsins.log 05.01.2006 05:52 286.001 ntdtcsetup.log 05.01.2006 05:52 77.906 tabletoc.log 05.01.2006 05:52 465.361 comsetup.log 05.01.2006 05:52 1.787.234 iis6.log 05.01.2006 05:52 728.913 tsoc.log 05.01.2006 05:52 273.287 netfxocm.log 05.01.2006 05:52 64.584 ocmsn.log 05.01.2006 05:52 63.710 KB910728.log 05.01.2006 05:52 67.708 medctroc.Log 05.01.2006 05:52 792.642 ocgen.log 05.01.2006 05:52 78.372 msgsocm.log 05.01.2006 05:52 1.565.582 FaxSetup.log 05.01.2006 05:52 496.388 msmqinst.log 05.01.2006 05:52 45.432 updspapi.log 05.01.2006 05:52 63.909 KB910720.log 05.01.2006 05:52 1.355 imsins.BAK 05.01.2006 00:45 28.848 spupdsvc.log 05.01.2006 00:45 1.053 DtcInstall.log 05.01.2006 00:45 1.510 OEWABLog.txt 05.01.2006 00:45 316.640 WMSysPr9.prx 05.01.2006 00:44 799.562 setuplog.txt 05.01.2006 00:42 608.382 svcpack.log 05.01.2006 00:39 1.190.098 setupapi.log.1.old 05.01.2006 00:37 200 cmsetacl.log 05.01.2006 00:37 1.330 sessmgr.setup.log 05.01.2006 00:26 50 wiaservc.log 05.01.2006 00:26 216 wiadebug.log 05.01.2006 00:24 1.335 svcpack.log.1.log 04.01.2006 22:56 32 go 03.01.2006 17:45 1.989 uninstall_nmon.vbs 02.01.2006 17:58 58.722 Windows Update.log 27.12.2005 17:06 175.050 spslpsrm.log 20.12.2005 01:37 383 ST6UNST.000 20.12.2005 01:37 73.216 ST6UNST.EXE 16.12.2005 03:01 1.945.006 NFSMW-MegaTrainer.CAB 15.12.2005 19:22 182.328 setupact.log 14.12.2005 18:54 319 CoDUO.INI 14.12.2005 18:42 709 CoD.INI Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 10AC-877C Verzeichnis von C:\WINDOWS\system32 14.01.2006 11:24 2.550 Uninstall.ico 14.01.2006 11:24 1.406 Help.ico 14.01.2006 11:24 30.590 pavas.ico 14.01.2006 11:07 10 sec.txt 14.01.2006 11:07 73 direct.txt 14.01.2006 10:59 0 asfiles.txt 14.01.2006 10:45 43.573 nvapps.xml 14.01.2006 10:45 1.164 OODBS.lor 14.01.2006 10:37 2.126 wpa.dbl 05.01.2006 14:44 380.350 perfh009.dat 05.01.2006 14:44 52.764 perfc009.dat 05.01.2006 14:44 63.580 perfc007.dat 05.01.2006 14:44 391.000 perfh007.dat 05.01.2006 14:44 897.954 PerfStringBackup.INI 05.01.2006 00:44 90 spupdwxp.log 05.01.2006 00:44 111.784 FNTCACHE.DAT 04.01.2006 21:23 7.999 second.bat 01.01.2006 15:41 3.584 wmfhotfix.dll 20.12.2005 20:33 34.064 lhacm.acm 10.12.2005 04:16 180.224 nvumctl.exe 10.12.2005 04:16 180.224 nvuaudio.exe 10.12.2005 04:16 180.224 NVUNINST.EXE 10.12.2005 04:16 180.224 nvuenet.exe 10.12.2005 04:16 180.224 nvugart.exe 10.12.2005 04:16 180.224 nvuide.exe 10.12.2005 03:06 35.840 nvcod.dll 10.12.2005 03:06 35.840 nvcodins.dll 10.12.2005 03:06 442.368 nvappbar.exe 10.12.2005 03:06 110.592 nvapi.dll 10.12.2005 03:06 3.955.456 nv4_disp.dll 10.12.2005 03:06 258.048 nvrsja.dll 10.12.2005 03:06 147.456 nvcolor.exe 10.12.2005 03:06 253.952 nvrsko.dll 10.12.2005 03:06 266.240 nvrsnl.dll 10.12.2005 03:06 249.856 nvrsno.dll 10.12.2005 03:06 249.856 nvrspl.dll 10.12.2005 03:06 266.240 nvrspt.dll 10.12.2005 03:06 262.144 nvrsptb.dll 10.12.2005 03:06 262.144 nvrsru.dll 10.12.2005 03:06 249.856 nvrssk.dll 10.12.2005 03:06 249.856 nvrssl.dll 10.12.2005 03:06 245.760 nvrssv.dll 10.12.2005 03:06 249.856 nvrstr.dll 10.12.2005 03:06 217.088 nvrszhc.dll 10.12.2005 03:06 7.311.360 nvcpl.dll 10.12.2005 03:06 16.356 nvdisp.nvu 10.12.2005 03:06 118.784 nvrszht.dll 10.12.2005 03:06 466.944 nvshell.dll 10.12.2005 03:06 1.339.392 nvdspsch.exe 10.12.2005 03:06 131.139 nvsvc32.exe 10.12.2005 03:06 73.728 nvtuicpl.cpl 10.12.2005 03:06 573.440 nvhwvid.dll 10.12.2005 03:06 1.466.368 nview.dll 10.12.2005 03:06 229.376 nvmccs.dll 10.12.2005 03:06 45.056 nvmccsrs.dll 10.12.2005 03:06 86.016 nvmctray.dll 10.12.2005 03:06 286.720 nvnt4cpl.dll 10.12.2005 03:06 81.920 nvwddi.dll 10.12.2005 03:06 1.662.976 nvwdmcpl.dll 10.12.2005 03:06 1.019.904 nvwimg.dll 10.12.2005 03:06 282.624 nvwrsar.dll 10.12.2005 03:06 286.720 nvwrscs.dll 10.12.2005 03:06 294.912 nvwrsda.dll 10.12.2005 03:06 311.296 nvwrsde.dll 10.12.2005 03:06 335.872 nvwrsel.dll 10.12.2005 03:06 286.720 nvwrseng.dll 10.12.2005 03:06 5.402.624 nvoglnt.dll 10.12.2005 03:06 335.872 nvwrses.dll 10.12.2005 03:06 327.680 nvwrsesm.dll 10.12.2005 03:06 303.104 nvwrsfi.dll 10.12.2005 03:06 327.680 nvwrsfr.dll 10.12.2005 03:06 278.528 nvwrshe.dll 10.12.2005 03:06 315.392 nvwrshu.dll 10.12.2005 03:06 323.584 nvwrsit.dll 10.12.2005 03:06 212.992 nvwrsja.dll 10.12.2005 03:06 319.488 nvrsar.dll 10.12.2005 03:06 196.608 nvwrsko.dll 10.12.2005 03:06 319.488 nvwrsnl.dll 10.12.2005 03:06 299.008 nvwrsno.dll 10.12.2005 03:06 294.912 nvwrspl.dll 10.12.2005 03:06 323.584 nvwrspt.dll 10.12.2005 03:06 319.488 nvwrsptb.dll 10.12.2005 03:06 315.392 nvwrsru.dll 10.12.2005 03:06 299.008 nvwrssk.dll 10.12.2005 03:06 303.104 nvwrssl.dll 10.12.2005 03:06 294.912 nvwrssv.dll 10.12.2005 03:06 303.104 nvwrstr.dll 10.12.2005 03:06 241.664 nvrscs.dll 10.12.2005 03:06 245.760 nvrsda.dll 10.12.2005 03:06 270.336 nvrsde.dll 10.12.2005 03:06 163.840 nvwrszhc.dll 10.12.2005 03:06 167.936 nvwrszht.dll 10.12.2005 03:06 1.519.616 nwiz.exe 10.12.2005 03:06 274.432 nvrsel.dll 10.12.2005 03:06 241.664 nvrseng.dll 10.12.2005 03:06 425.984 keystone.exe 10.12.2005 03:06 274.432 nvrses.dll 10.12.2005 03:06 266.240 nvrsesm.dll 10.12.2005 03:06 241.664 nvrsfi.dll 10.12.2005 03:06 278.528 nvrsfr.dll 10.12.2005 03:06 319.488 nvrshe.dll 10.12.2005 03:06 253.952 nvrshu.dll 10.12.2005 03:06 274.432 nvrsit.dll 08.12.2005 16:25 2.723.680 MRT.exe 05.12.2005 21:37 37.473 muzika.xm 05.12.2005 18:09 2.323.664 d3dx9_28.dll 05.12.2005 18:07 61.136 xinput9_1_0.dll 03.12.2005 11:25 36.864 frapsvid.dll 01.12.2005 04:32 1.495.040 shdocvw.dll Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 10AC-877C Verzeichnis von C:\DOKUME~1\-Smelli-\LOKALE~1\Temp 15.01.2006 18:39 0 e44710.tmp 15.01.2006 18:36 0 mno7b8op.pdf 14.01.2006 12:05 16.384 ~DF67C7.tmp 14.01.2006 10:43 16.384 ~DF550C.tmp 14.01.2006 10:43 16.384 ~DF4235.tmp 14.01.2006 10:42 16.384 ~DF2D41.tmp 14.01.2006 10:42 16.384 ~DF233E.tmp 14.01.2006 10:40 16.384 ~DF7619.tmp 14.01.2006 10:40 16.384 ~DF69BA.tmp 14.01.2006 10:38 16.384 ~DF5D7A.tmp 14.01.2006 10:37 16.384 ~DF3F08.tmp 14.01.2006 10:36 16.384 ~DFA98C.tmp 14.01.2006 10:32 892 kb.log 14.01.2006 10:19 16.384 ~DF20D0.tmp 14 Datei(en) 181.116 Bytes 0 Verzeichnis(se), 2.909.208.576 Bytes frei Datentr„ger in Laufwerk C: ist Windows Volumeseriennummer: 10AC-877C Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 22.11.2005 02:42 <DIR> . 22.11.2005 02:42 <DIR> .. 22.11.2005 02:42 <DIR> 1031 22.11.2005 02:42 <DIR> 1033 11.07.2003 02:15 1.292.872 MSONSEXT.DLL 14.07.2003 22:52 35.896 MSOSV.DLL 19.03.1999 08:46 127.032 MSOWS407.DLL 04.06.1999 01:09 122.937 MSOWS409.DLL 11.07.2003 02:25 80.448 PKMWS.DLL 5 Datei(en) 1.659.185 Bytes 4 Verzeichnis(se), 2.909.335.552 Bytes frei Logfile of HijackThis v1.99.1 Scan saved at 20:22:28, on 15.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Windows\system32\spoolsv.exe C:\Windows\Explorer.EXE E:\Logitech\Tastatur\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\Windows\CTHELPER.EXE C:\Windows\system32\CTXFIHLP.EXE C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe E:\Norton\SystemWorks\Norton AntiVirus\navapsvc.exe E:\DAEMON Tools\daemon.exe C:\Windows\SYSTEM32\CTXFISPI.EXE C:\Windows\system32\ctfmon.exe E:\Norton\SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\Windows\System32\nvsvc32.exe C:\Windows\System32\oodag.exe C:\Windows\System32\tcpsvcs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe E:\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE E:\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Windows\System32\svchost.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton\SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [zBrowser Launcher] e:\Logitech\Tastatur\iTouch\iTouch.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://e:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - e:\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - AppInit_DLLs: C:\Windows\System32\wmfhotfix.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - E:\Norton\SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Norton\SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\System32\oodag.exe O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - e:\Sandra\RpcDataSrv.exe (file missing) O23 - Service: SAVScan - Symantec Corporation - E:\Norton\SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - E:\Norton\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe ka, ob ich noch infizierte dateien auf dem rechner hab, jedenfalls zeigt kein scanner etwas an und ich bemerke auch nix. in den listen sind ebenfalls keine dateien zu finden, welche ungewöhnlich zu sein scheinen. wegen dem fehler bei dem l2mfix, würde es vtll helfen, wenn ich ne config.nt von nem andrem system nehme ? die scheint ja nen treffer zu haben...da progs einige progs wie gesagt nichtmehr gehen. und bei dem fehler beim l2mremover hab ich immernoch keinen erfolg. Dieser Beitrag wurde am 15.01.2006 um 20:23 Uhr von Smelli editiert.
|
|
|
||
ich bin seit einigen Tagen am üben, irgend eine bösartige Spyware von meinem Rechner zu kriegen- schaffe es aber nicht...
Das Problem: im Firefox (1.0 und Beta 1.5) öffen sich unablässig neue Tabs, verweisen auf Seiten wie http://adserver.softwareonline.com. Firefox startet sogar automatisch.
Ich hab Norman, AdAware, Spyware Doctor etc. drüber gelassen, brint alles nix.
Ich vergleiche meinen HijackThis-Eintrag mit bestehenden Einträgen in diesem Forum, finde aber nichts, vielleicht übersehe ich was...
Es wäre lieb, wenn jemand von Euch mal drauf schauen könnte - ich versteh das zuwenig.
tnx:-)tom
Logfile of HijackThis v1.99.1
Scan saved at 12:33:44, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Norman\bin\ZLH.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\D-Tools\daemon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Babylon\Babylon.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
P:\programme_zip\hijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fmok] C:\PROGRA~1\COMMON~1\fmok\fmokm.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hof3.local
O17 - HKLM\Software\..\Telephony: DomainName = hof3.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hof3.local
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\enr6l19s1.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe