Spyware Probleme ohne Ende :-( |
||
---|---|---|
#0
| ||
06.11.2005, 16:09
Member
Beiträge: 12 |
||
|
||
07.11.2005, 12:27
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Tina02
kopiere hier die 4 Logs, dann helfe ich dir, den PC zu saeubern http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 08:08
Member
Themenstarter Beiträge: 12 |
#3
Hi Sabina,
ich habe die Log, die datfindbat erzeugt hat hier rein kopiert. Kannst Du mir helfen? LG, Tina Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\WINNT\system32 08.11.2005 08:13 5.420 ncompat.tlb 08.11.2005 08:05 5.120 msvol.tlb 08.11.2005 08:05 16.384 hp21FC.tmp 08.11.2005 08:05 15.360 ld1F2B.tmp 07.11.2005 20:50 4.286 ot.ico 07.11.2005 20:50 4.286 ts.ico 07.11.2005 20:50 8.840 mssearchnet.exe 06.11.2005 13:12 12.584 nvctrl.exe 06.11.2005 13:10 10.368 mscornet.exe 03.09.2005 20:44 311.296 WinNB57.dll 02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log 13.08.2005 21:46 16.832 amcompat.tlb 13.08.2005 21:46 23.392 nscompat.tlb 13.08.2005 21:36 106.216 FNTCACHE.DAT 02.06.2005 15:34 245.408 unicows.dll 13.04.2005 02:48 127.078 javaws.exe 13.04.2005 02:48 49.265 jpicpl32.cpl 13.04.2005 01:20 49.250 javaw.exe 13.04.2005 01:19 49.248 java.exe 30.03.2005 16:26 100.352 dfrg.msc 11.03.2005 23:48 108.544 pxcpyi64.exe 11.03.2005 23:48 56.320 pxinsa64.exe 11.03.2005 23:48 56.832 pxcpya64.exe 11.03.2005 23:48 61.440 pxhpinst.exe 11.03.2005 23:48 109.568 pxinsi64.exe 11.03.2005 23:28 339.968 pxwave.dll 11.03.2005 23:28 28.672 vxblock.dll 11.03.2005 23:28 151.552 pxwma.dll 11.03.2005 23:28 172.032 pxmas.dll 11.03.2005 23:28 405.504 pxdrv.dll 11.03.2005 23:28 339.968 px.dll 12.02.2005 17:35 16.826 brdiag.GID 27.01.2005 14:39 466.944 capicom.dll 27.10.2004 17:07 53.248 unrar.dll 08.04.2004 16:51 939.368 Flash.ocx 26.02.2004 18:00 65.536 WinRas32.ocx 24.02.2004 02:42 1.386.496 msvbvm60.dll 22.01.2004 20:49 53.520 msasn1.dll 06.11.2003 14:42 0 TFTP2328 28.10.2003 19:58 2.951 CONFIG.NT 28.10.2003 19:56 300.378 perfh009.dat 28.10.2003 19:56 38.036 perfc009.dat 28.10.2003 19:56 289.156 perfh007.dat 28.10.2003 19:56 46.232 perfc007.dat 28.10.2003 19:56 21.817 folder.htt 28.10.2003 19:56 271 desktop.ini 28.10.2003 19:55 525 mapisvc.inf 28.10.2003 19:55 15.076 emptyregdb.dat |
|
|
||
08.11.2005, 14:43
Ehrenmitglied
Beiträge: 29434 |
#4
nu ja..die Daten von 1999 interessieren mich nicht so sehr..obwohl, ich habe gesehen, dass du einen anonymen FTP-Server hast...also ein Backdoor laedt fleissig Daten runter.....
CCleaner http://www.ccleaner.com/ccdownload.asp lösche alle temp-Dateien ...poste noch die anderen 3 Logs....!!!!...auf der Seite von Datfindbat ist erklaert, dass es 4 Logs sind + das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2005, 19:30
Member
Themenstarter Beiträge: 12 |
#5
Hallo Sabina,
soo..., ich habe jetzt die vier Log-Dateien reinkopiert (sorry, habe ich heute morgen auf die Schnelle nicht kapiert). Kannst Du mir helfen? C:\Windows\System32 08.11.2005 19:27 5.420 ncompat.tlb 08.11.2005 19:22 5.120 msvol.tlb 08.11.2005 19:22 16.384 hp3469.tmp 08.11.2005 19:22 15.360 ld2E1D.tmp 07.11.2005 20:50 4.286 ot.ico 07.11.2005 20:50 4.286 ts.ico 07.11.2005 20:50 8.840 mssearchnet.exe 06.11.2005 13:12 12.584 nvctrl.exe 06.11.2005 13:10 10.368 mscornet.exe 03.09.2005 20:44 311.296 WinNB57.dll 02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log 13.08.2005 21:46 16.832 amcompat.tlb 13.08.2005 21:46 23.392 nscompat.tlb 13.08.2005 21:36 106.216 FNTCACHE.DAT 02.06.2005 15:34 245.408 unicows.dll 13.04.2005 02:48 127.078 javaws.exe 13.04.2005 02:48 49.265 jpicpl32.cpl 13.04.2005 01:20 49.250 javaw.exe 13.04.2005 01:19 49.248 java.exe 30.03.2005 16:26 100.352 dfrg.msc 11.03.2005 23:48 108.544 pxcpyi64.exe 11.03.2005 23:48 56.320 pxinsa64.exe 11.03.2005 23:48 56.832 pxcpya64.exe 11.03.2005 23:48 61.440 pxhpinst.exe 11.03.2005 23:48 109.568 pxinsi64.exe 11.03.2005 23:28 339.968 pxwave.dll 11.03.2005 23:28 28.672 vxblock.dll 11.03.2005 23:28 151.552 pxwma.dll 11.03.2005 23:28 172.032 pxmas.dll 11.03.2005 23:28 405.504 pxdrv.dll 11.03.2005 23:28 339.968 px.dll 12.02.2005 17:35 16.826 brdiag.GID 27.01.2005 14:39 466.944 capicom.dll 27.10.2004 17:07 53.248 unrar.dll 08.04.2004 16:51 939.368 Flash.ocx 26.02.2004 18:00 65.536 WinRas32.ocx 24.02.2004 02:42 1.386.496 msvbvm60.dll 22.01.2004 20:49 53.520 msasn1.dll temporaere Datein 08.11.2005 19:34 512 ~DFF37A.tmp 08.11.2005 19:26 16.384 ~DFA733.tmp 08.11.2005 19:22 21.515 jusched.log 08.11.2005 08:06 16.384 ~DF62B0.tmp 24.01.2005 19:25 10.332 mso1C0.emf 24.01.2005 19:25 7.960 mso10C.emf 24.01.2005 19:25 7.048 mso75.emf 24.01.2005 19:25 4.368 mso7.emf 24.01.2005 19:25 33.876 mso364.emf 18.01.2005 13:02 159.744 MirarSetup.exe C:\Windows 08.11.2005 08:18 32.592 SchedLgU.Txt 06.11.2005 13:58 1.286.138 ShellIconCache 06.11.2005 13:43 147 winamp.ini 06.11.2005 12:20 669.313 setupapi.log 03.09.2005 20:42 6.036 switchagreement.txt 03.09.2005 20:42 1 imsins_.bin 03.09.2005 20:42 93 KB842252.log 03.09.2005 10:12 27 stwin04.ini 03.09.2005 10:12 59 d2hnav.ini 03.09.2005 10:10 296 BRDIAG.INI 03.09.2005 10:10 11 BRVIDEO.INI 03.09.2005 10:10 12 Brownie.ini 03.09.2005 10:10 12 BRPP2KA.INI 28.08.2005 12:38 14.054 SYMEVENT.LOG 13.08.2005 21:50 1.514 OEWABLog.txt 13.08.2005 21:47 11.520 Active Setup Log.txt 13.08.2005 21:39 5.882 Active Setup Log.BAK 13.08.2005 21:35 231 system.ini 05.08.2005 19:24 1.287 ModemDet.txt 30.07.2005 14:48 23.111 ModemLog_MicroLink 56k Fun .txt 05.05.2005 07:09 3.188 tm.ini 20.04.2005 20:02 35 tdf.dii 30.03.2005 15:42 94.240 iis5.log 30.03.2005 15:42 60.379 comsetup.log 30.03.2005 15:42 1.968 imsins.log 30.03.2005 15:42 25.337 ocgen.log 30.03.2005 15:42 2.081 ockodak.log 04.03.2005 17:50 1.928 imsins.BAK 12.02.2005 17:39 453 BRWMARK.INI 12.02.2005 14:58 40 opt_1430.ini 12.02.2005 14:51 0 brmx2001.ini 12.02.2005 14:51 0 BROHL143.INI Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\ 08.11.2005 19:36 0 sys.txt 08.11.2005 19:36 5.326 system.txt 08.11.2005 19:35 19.571 systemtemp.txt 08.11.2005 19:33 81.859 system32.txt 08.11.2005 19:21 402.247.680 hiberfil.sys 08.11.2005 19:21 201.326.592 pagefile.sys 07.11.2005 20:51 2 AVPCallback.log 06.11.2005 19:08 0 23990098.$$$ 03.10.2005 18:03 2.855.080 aawsepersonal.exe 29.09.2005 10:17 895.488 iview397.exe 26.08.2005 21:55 692.224 StubInstaller.exe 08.10.2004 16:03 0 AILog.txt 07.11.2003 10:40 215.904 ntldr 07.11.2003 10:40 34.468 NTDETECT.COM 28.10.2003 19:58 0 IO.SYS 28.10.2003 19:58 0 MSDOS.SYS 28.10.2003 19:58 0 AUTOEXEC.BAT 28.10.2003 19:58 0 CONFIG.SYS 28.10.2003 19:52 192 boot.ini 24.06.2003 11:52 4.245 __ofidx.ffa 19.11.2000 20:49 3.072.671 397ger.exe 21 Datei(en) 611.451.302 Bytes 0 Verzeichnis(se), 202.838.016 Bytes frei @Sabina Und hier das Log vom Silentrunner : "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] "Arcor Online" = (empty string) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "wininet.dll" = "mscornet.exe" [null data] "kernel32.dll" = "C:\WINNT\system32\mssearchnet.exe" [null data] "nvctrl.exe" = "nvctrl.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."] "SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [file not found] "AVGCtrl" = ""D:\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "Arcor Online" = (empty string) "WinampAgent" = ""D:\Winamp\Winampa.exe"" [null data] "Synchronization Manager" = "mobsync.exe /logon" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd}\(Default) = "HomepageBHO" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hp3469.tmp" [null data] Dieser Beitrag wurde am 08.11.2005 um 19:44 Uhr von Tina02 editiert.
|
|
|
||
09.11.2005, 00:00
Ehrenmitglied
Beiträge: 29434 |
#6
mache folgendes: (dann beginnt die Reinigung)
CCleaner http://www.ccleaner.com/ccdownload.asp lösche alle temp-Dateien das zweite Log (von den temoraeren Dateien muss leer sein) poste das Log vom Silentrunner noch mal, aber komplett, bitte ----------------------------------------------------------------------- Info: (dann bekommen wir alles schnell sauber http://virus-protect.org/artikel/spyware/mscornet.html 08.11.2005 19:22 16.384 hp3469.tmp 08.11.2005 19:22 15.360 ld2E1D.tmp 07.11.2005 20:50 4.286 ot.ico 07.11.2005 20:50 4.286 ts.ico 07.11.2005 20:50 8.840 mssearchnet.exe 06.11.2005 13:12 12.584 nvctrl.exe 06.11.2005 13:10 10.368 mscornet.exe 03.09.2005 20:44 311.296 WinNB57.dll 18.01.2005 13:02 159.744 MirarSetup.exe 20.02.2005 09:04 516 DelUS.bat 26.08.2005 21:55 692.224 StubInstaller.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.11.2005, 21:26
Member
Themenstarter Beiträge: 12 |
#7
@Sabina
habe alle temp-Dateien gelöscht und hier das Log vom Silentrunner gepostet. Außerdem habe ich auch noch mal die aktuellen 4 Datfindbat-Log gepostet. Was soll ich jetzt tun? Danke für Deine Hilfe. Liebe Grüße, Tina "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] "Arcor Online" = (empty string) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "wininet.dll" = "mscornet.exe" [null data] "kernel32.dll" = "C:\WINNT\system32\mssearchnet.exe" [null data] "nvctrl.exe" = "nvctrl.exe" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."] "SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [file not found] "AVGCtrl" = ""D:\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "Arcor Online" = (empty string) "WinampAgent" = ""D:\Winamp\Winampa.exe"" [null data] "Synchronization Manager" = "mobsync.exe /logon" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd}\(Default) = "HomepageBHO" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hp26D6.tmp" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "%APPDATA%\IrfanView\IrfanView_Wallpaper.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ "FriendlyName" = "" "Source" = "C:\Dokumente und Einstellungen\Christina\Desktop\Liebevoll.jpg" "SubscribedURL" = "C:\Dokumente und Einstellungen\Christina\Desktop\Liebevoll.jpg" Startup items in "Christina" & "All Users" startup folders: ----------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "WinZip Quick Pick" -> shortcut to: "C:\Programme\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc. and H.C. Top Systems B.V."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] Explorer Bars Dormant Explorer Bars in "View, Explorer Bar" menu HKLM\Software\Classes\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}\ = "SecurityToolbar" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [null data] Miscellaneous IE Hijack Points ------------------------------ C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""D:\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""D:\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]} Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Canon BJ Language Monitor S400\Driver = "CNMLM2P.DLL" ["CANON INC."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 36 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 49 seconds. ---------- (total run time: 195 seconds) 1. Datfindbat Log Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\WINNT\system32 10.11.2005 21:57 5.420 ncompat.tlb 10.11.2005 21:19 5.120 msvol.tlb 10.11.2005 21:19 16.384 hp26D6.tmp 10.11.2005 21:19 15.360 ld1A98.tmp 07.11.2005 20:50 4.286 ot.ico 07.11.2005 20:50 4.286 ts.ico 07.11.2005 20:50 8.840 mssearchnet.exe 06.11.2005 13:12 12.584 nvctrl.exe 06.11.2005 13:10 10.368 mscornet.exe 03.09.2005 20:44 311.296 WinNB57.dll 02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log 13.08.2005 21:46 16.832 amcompat.tlb 13.08.2005 21:46 23.392 nscompat.tlb 13.08.2005 21:36 106.216 FNTCACHE.DAT 02.06.2005 15:34 245.408 unicows.dll 13.04.2005 02:48 127.078 javaws.exe 13.04.2005 02:48 49.265 jpicpl32.cpl 13.04.2005 01:20 49.250 javaw.exe 13.04.2005 01:19 49.248 java.exe 30.03.2005 16:26 100.352 dfrg.msc 11.03.2005 23:48 108.544 pxcpyi64.exe 11.03.2005 23:48 56.320 pxinsa64.exe 11.03.2005 23:48 56.832 pxcpya64.exe 11.03.2005 23:48 61.440 pxhpinst.exe 11.03.2005 23:48 109.568 pxinsi64.exe 11.03.2005 23:28 339.968 pxwave.dll 11.03.2005 23:28 28.672 vxblock.dll 11.03.2005 23:28 151.552 pxwma.dll 11.03.2005 23:28 172.032 pxmas.dll 11.03.2005 23:28 405.504 pxdrv.dll 11.03.2005 23:28 339.968 px.dll 12.02.2005 17:35 16.826 brdiag.GID 27.01.2005 14:39 466.944 capicom.dll 2. Datfindbat-Log Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp 10.11.2005 21:45 3.421 hijackthis.log 10.11.2005 21:28 16.384 ~DF7F91.tmp 06.11.2005 20:02 59.392 KillBox.exe 16.02.2005 11:06 218.112 HijackThis.exe 4 Datei(en) 297.309 Bytes 0 Verzeichnis(se), 378.601.472 Bytes frei 3. Datfindbat-Log Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\WINNT 08.11.2005 20:41 32.592 SchedLgU.Txt 06.11.2005 13:58 1.286.138 ShellIconCache 06.11.2005 13:43 147 winamp.ini 03.09.2005 20:42 6.036 switchagreement.txt 03.09.2005 20:42 1 imsins_.bin 03.09.2005 10:12 27 stwin04.ini 03.09.2005 10:12 59 d2hnav.ini 03.09.2005 10:10 296 BRDIAG.INI 03.09.2005 10:10 11 BRVIDEO.INI 03.09.2005 10:10 12 Brownie.ini 03.09.2005 10:10 12 BRPP2KA.INI 13.08.2005 21:35 231 system.ini 05.08.2005 19:24 1.287 ModemDet.txt 30.07.2005 14:48 23.111 ModemLog_MicroLink 56k Fun .txt 05.05.2005 07:09 3.188 tm.ini 20.04.2005 20:02 35 tdf.dii 12.02.2005 17:39 453 BRWMARK.INI 12.02.2005 14:58 40 opt_1430.ini 12.02.2005 14:51 0 brmx2001.ini 12.02.2005 14:51 0 BROHL143.INI 4. Datfindbat-Log Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\ 10.11.2005 22:02 0 sys.txt 10.11.2005 22:01 4.111 system.txt 10.11.2005 22:00 465 systemtemp.txt 10.11.2005 21:59 81.859 system32.txt 10.11.2005 21:19 402.247.680 hiberfil.sys 10.11.2005 21:18 201.326.592 pagefile.sys 07.11.2005 20:51 2 AVPCallback.log 06.11.2005 19:08 0 23990098.$$$ 03.10.2005 18:03 2.855.080 aawsepersonal.exe 29.09.2005 10:17 895.488 iview397.exe 26.08.2005 21:55 692.224 StubInstaller.exe Dieser Beitrag wurde am 10.11.2005 um 21:54 Uhr von Tina02 editiert.
|
|
|
||
11.11.2005, 00:47
Ehrenmitglied
Beiträge: 29434 |
#8
Tina02
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "wininet.dll"=- "kernel32.dll"=- "nvctrl.exe"=- --------------------------------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINNT\system32\ncompat.tlb C:\Programme\Security Toolbar\Security Toolbar.dll C:\WINNT\system32\msvol.tlb C:\WINNT\system32\hp26D6.tmp C:\WINNT\system32\ld1A98.tmp C:\WINNT\system32\ot.ico C:\WINNT\system32\ts.ico C:\WINNT\system32\mssearchnet.exe C:\WINNT\system32\nvctrl.exe C:\WINNT\system32\mscornet.exe C:\WINNT\system32\WinNB57.dll C:\WINNT\switchagreement.txt C:\WINNT\system32\TFTP2328 C:\StubInstaller.exe PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen. loesche: C:\Programme\Security Toolbar ------------------------------------------------------------------ öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINNT\System32\hp32CE.tmp O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.11.2005, 07:14
Member
Themenstarter Beiträge: 12 |
#9
@ Sabina
wenn ich die dateien in die killbox eintrage und auf das rote kreut drücke, passiert gar nichts. ich werde nicht gefragt: "Do you want to reboot?" Was mache ich falsch? Und kannst Du mir bitte sagen, was "der Registry beifügen" bedeutet? Was genau muss ich da machen? LG, Tina |
|
|
||
11.11.2005, 10:52
Ehrenmitglied
Beiträge: 29434 |
#10
wenn bei der Killbox nichts gefragt wird, dann arbeite dennoch alles ab--> alle genannten Dateien reinkopieren und jedesmal das rote Kreuz klicken, nach der letzten starte du den PC neu.
der Registry beifuegen bedeutet: du wirst nach anklicken der reg-Datei gefragt, ob sie der Registry beigefuegt werden soll: ja/nein....klicke " ja" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.11.2005, 21:04
Member
Themenstarter Beiträge: 12 |
#11
@ Sabina,
ich habe alles ausgeführt, nur beim smitRem TOOL konnte ich keine RunThis.bat Datei finden. Ich habe hier noch mal meine Datfind.bat Logs und das Log vom Silentrunner gepostet. Kannst Du mir sagen, ob ich noch was machen muss? LG, Tina Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\WINNT\system32 12.11.2005 11:38 98.304 svchosts.dll 02.09.2005 14:03 3.534 jupdate-1.5.0_03-b07.log 13.08.2005 21:46 16.832 amcompat.tlb 13.08.2005 21:46 23.392 nscompat.tlb 13.08.2005 21:36 106.216 FNTCACHE.DAT 02.06.2005 15:34 245.408 unicows.dll 13.04.2005 02:48 127.078 javaws.exe 13.04.2005 02:48 49.265 jpicpl32.cpl 13.04.2005 01:20 49.250 javaw.exe 13.04.2005 01:19 49.248 java.exe 30.03.2005 16:26 100.352 dfrg.msc 11.03.2005 23:48 108.544 pxcpyi64.exe 11.03.2005 23:48 109.568 pxinsi64.exe 11.03.2005 23:48 56.320 pxinsa64.exe 11.03.2005 23:48 61.440 pxhpinst.exe 11.03.2005 23:48 56.832 pxcpya64.exe 11.03.2005 23:28 151.552 pxwma.dll 11.03.2005 23:28 28.672 vxblock.dll 11.03.2005 23:28 339.968 pxwave.dll 11.03.2005 23:28 172.032 pxmas.dll 11.03.2005 23:28 405.504 pxdrv.dll 11.03.2005 23:28 339.968 px.dll 12.02.2005 17:35 16.826 brdiag.GID 27.01.2005 14:39 466.944 capicom.dll atentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp 12.11.2005 20:53 16.384 ~DFA985.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 387.186.688 Bytes frei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\WINNT 12.11.2005 20:50 32.592 SchedLgU.Txt 12.11.2005 20:44 465.002 ShellIconCache 12.11.2005 20:42 147 winamp.ini 03.09.2005 20:42 1 imsins_.bin 03.09.2005 10:12 27 stwin04.ini 03.09.2005 10:12 59 d2hnav.ini 03.09.2005 10:10 11 BRVIDEO.INI 03.09.2005 10:10 296 BRDIAG.INI 03.09.2005 10:10 12 Brownie.ini 03.09.2005 10:10 12 BRPP2KA.INI 13.08.2005 21:35 231 system.ini 05.08.2005 19:24 1.287 ModemDet.txt 30.07.2005 14:48 23.111 ModemLog_MicroLink 56k Fun .txt 05.05.2005 07:09 3.188 tm.ini 20.04.2005 20:02 35 tdf.dii 12.02.2005 17:39 453 BRWMARK.INI 12.02.2005 14:58 40 opt_1430.ini 12.02.2005 14:51 0 brmx2001.ini 12.02.2005 14:51 0 BROHL143.INI Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: E0F9-B320 Verzeichnis von C:\ 12.11.2005 21:03 0 sys.txt 12.11.2005 21:03 4.051 system.txt 12.11.2005 21:03 303 systemtemp.txt 12.11.2005 21:00 81.353 system32.txt 12.11.2005 20:51 402.247.680 hiberfil.sys 12.11.2005 20:51 201.326.592 pagefile.sys 12.11.2005 17:51 1.001 smitfiles.txt 07.11.2005 20:51 2 AVPCallback.log 06.11.2005 19:08 0 23990098.$$$ 03.10.2005 18:03 2.855.080 aawsepersonal.exe 29.09.2005 10:17 895.488 iview397.exe 08.10.2004 16:03 0 AILog.txt 07.11.2003 10:40 215.904 ntldr 07.11.2003 10:40 34.468 NTDETECT.COM 28.10.2003 19:58 0 CONFIG.SYS 28.10.2003 19:58 0 MSDOS.SYS 28.10.2003 19:58 0 AUTOEXEC.BAT 28.10.2003 19:58 0 IO.SYS 28.10.2003 19:52 192 boot.ini 24.06.2003 11:52 4.245 __ofidx.ffa 19.11.2000 20:49 3.072.671 397ger.exe 21 Datei(en) 610.739.030 Bytes 0 Verzeichnis(se), 387.190.784 Bytes frei "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows 2000 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "internat.exe" = "internat.exe" [MS] "Arcor Online" = (empty string) "SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" ["Sun Microsystems, Inc."] "SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [file not found] "AVGCtrl" = ""D:\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] "Arcor Online" = (empty string) "WinampAgent" = ""D:\Winamp\Winampa.exe"" [null data] "Synchronization Manager" = "mobsync.exe /logon" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "D:\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "Christina" & "All Users" startup folders: ----------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "WinZip Quick Pick" -> shortcut to: "C:\Programme\WinZip\WZQKPICK.EXE" ["WinZip Computing, Inc. and H.C. Top Systems B.V."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}" = "SecurityToolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [file not found] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] Explorer Bars Dormant Explorer Bars in "View, Explorer Bar" menu HKLM\Software\Classes\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}\ = "SecurityToolbar" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Programme\Security Toolbar\Security Toolbar.dll" [file not found] Miscellaneous IE Hijack Points ------------------------------ C:\WINNT\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, ""D:\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""D:\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]} Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Canon BJ Language Monitor S400\Driver = "CNMLM2P.DLL" ["CANON INC."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 51 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 43 seconds. ---------- (total run time: 209 seconds) |
|
|
||
12.11.2005, 22:11
Ehrenmitglied
Beiträge: 29434 |
#12
loesche mit der killbox:
C:\WINNT\system32\svchosts.dll scanne mit Panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2005, 10:11
Member
Themenstarter Beiträge: 12 |
#13
Hallo Sabina,
hier ist der Scanreport. Liebe Grüße, Tina Incident Status Location Virus:W32/Smitfraud.D Disinfected Operating system Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url Adware:adware/securityerror No disinfected C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\Online Security Center.url Dialer:dialer.baj No disinfected C:\WINNT\DOWNLOADED PROGRAM FILES\eied.inf Adware:adware/mirar No disinfected C:\WINNT\DOWNLOADED PROGRAM FILES\MirarSetup.exe Dialer:dialer.xd No disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD\SYSTEMCHECK2 Adware:Adware/SecurityError No disinfected C:\!KillBox\mscornet.exe Adware:Adware/SecurityError No disinfected C:\!KillBox\mssearchnet.exe Virus:Trj/Downloader.FQL No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied_s7_c_26.exe] Adware:Adware/MediaTickets No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied.inf] Adware:Adware/SecurityError No disinfected C:\escheck\ECBackup\mssearchnet.exe.bkp.bkp Adware:Adware/MediaTickets No disinfected C:\WINNT\Downloaded Program Files\eied.inf Adware:Adware/Mirar No disinfected C:\WINNT\Downloaded Program Files\MirarSetup.exe Dialerialer.ABR No disinfected C:\WINNT\Downloaded Program Files\start26.inf Adware:Adware/SpyAxe No disinfected C:\WINNT\system32\1024\ld400E.tmp Virus:W32/Smitfraud.D Disinfected C:\WINNT\system32\wininet.dll Adware:Adware/Mirar No disinfected D:\Lokale Einstellungen\Temp\MirarSetup.exe |
|
|
||
13.11.2005, 13:12
Ehrenmitglied
Beiträge: 29434 |
#14
gehe in die registry
start-->Ausfeuhren--> regedit HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD\SYSTEMCHECK2 <--loeschen schliesse die Registry loesche: C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\!KillBox loesche mit der Killbox: C:\WINNT\DOWNLOADED PROGRAM FILES\eied.inf C:\WINNT\DOWNLOADED PROGRAM FILES\MirarSetup.exe D:\Lokale Einstellungen\Temp\MirarSetup.exe C:\WINNT\Downloaded Program Files\start26.inf C:\WINNT\system32\1024\ld400E.tmp PC neustarten loesche: C:\WINNT\system32\1024 smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread dann scanne noch mal mit Panda __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.11.2005, 19:26
Member
Themenstarter Beiträge: 12 |
#15
Hallo Sabina,
hier mein Panda-Log. Aber ich weiß nicht, wo ich die SmitRem Texdatei finde. Kannst Du mir noch mal helfen? Danke! Tina Incident Status Location Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url Adware:adware/securityerror No disinfected C:\Dokumente und Einstellungen\Christina\Favoriten\Free XXX Sites List.url Adware:adware/mirar No disinfected Windows Registry Virus:Trj/Downloader.FQL No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied_s7_c_26.exe] Adware:Adware/MediaTickets No disinfected C:\escheck\ECBackup\eied_s7.cab.bkp[eied.inf] Adware:Adware/SecurityError No disinfected C:\escheck\ECBackup\mssearchnet.exe.bkp.bkp |
|
|
||
kann mir jemand sagen, wo sich meine Probleme verstecken?
Hier meine Hijack Log:
Logfile of HijackThis v1.99.1
Scan saved at 16:15:43, on 06.11.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVGUARD.EXE
D:\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\System32\nvctrl.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
D:\AVGNT.EXE
D:\Winamp\Winampa.exe
C:\WINNT\System32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Process Viewer\PrcView.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\escheck\eScanCheck110.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\escheck\eScanCheck110.exe
C:\bases_x\mwavscan.com
C:\bases_x\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINNT\System32\hp32CE.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4C7415-3E5E-454C-AB5F-88DA27325CA5}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe