SpyAxe - was ist das?

#0
24.11.2005, 15:11
...neu hier

Beiträge: 3
#16 Komme so gegen 21.00 Uhr nach Hause, dann poste ich des Zeug. Thx schon mal vorab[/img]
Seitenanfang Seitenende
24.11.2005, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 ich antworte, weil du nicht doppeltposten kannst....ich komme gegen 23 Uhr...da ist es in Deutschland 24 Uhr ;)
Du musst also ein bisschen warten....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.11.2005, 12:26
...neu hier

Beiträge: 3
#18 Sorry, aber ich hatte gestern noch größere Probleme mit meinem I-Net, deshalb keine Antwort. Hab die ganze Sache aufgrund dessen anders gelöst. Format C:, neuinstallation. Wurde eh Zeit nach 2 Jahren immer nur wieder drüberinstallieren. Jetzt ist alles wieder sauber und rein :-). Danke aber trotzdem für die Mühen. Schön das es Leute gibt die immer so hilfsbereit sind. Thx and keep up good work.

greets arzt
Seitenanfang Seitenende
25.11.2005, 17:53
...neu hier

Beiträge: 5
#19 Hallo,

habe das gleiche Problem...

hier die logfile von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:53:20, on 26.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\antivir\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\spiele\halflife\steam.exe
D:\Spybot\Spybot - Search & Destroy\TeaTimer.exe
D:\Ultimatezip\uzqkst.exe
D:\ANTIVIR\AVGUARD.EXE
D:\antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Firefox\firefox.exe
C:\DOKUME~1\Leiki\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pegelstuermer.de/
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp4687.tmp
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVGCtrl] "D:\antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "e:\spiele\halflife\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: UltimateZip Quick Start.lnk = D:\Ultimatezip\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\AdobeAcrobatReader\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {E62B0096-0E63-4B2F-8463-235084D1BB4E} - D:\Antispy\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {E62B0096-0E63-4B2F-8463-235084D1BB4E} - D:\Antispy\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\antivir\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

----------------------------------------------------------------------------

CCleaner hab ich auch drüberlaufen lassen.
----------------------------------------------------------------------------
und hier die 4 Dateien von der datFind

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E050-8CE2

Verzeichnis von C:\WINDOWS\system32

26.11.2005 17:54 5.384 ncompat.tlb
26.11.2005 17:19 5.632 msvol.tlb
26.11.2005 17:19 21.828 nvapps.xml
26.11.2005 17:19 20.480 hp4687.tmp
26.11.2005 17:19 22.016 ld4565.tmp
26.11.2005 16:52 4.286 ot.ico
26.11.2005 16:52 4.286 ts.ico
26.11.2005 16:52 9.732 mssearchnet.exe
26.11.2005 16:52 13.888 nvctrl.exe
26.11.2005 16:50 2.206 wpa.dbl
21.11.2005 18:49 98.304 svchosts.dll
21.11.2005 18:47 15.297 mscornet.exe

14.11.2005 10:42 111.784 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 05:22 40.128 perfc009.dat
30.10.2005 05:22 311.740 perfh009.dat
30.10.2005 05:22 316.924 perfh007.dat
30.10.2005 05:22 48.354 perfc007.dat
30.10.2005 05:22 723.744 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
10.08.2005 00:14 3.799 jupdate-1.5.0_04-b05.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E050-8CE2

Verzeichnis von C:\DOKUME~1\Leiki\LOKALE~1\Temp

26.11.2005 17:52 16.384 ~DFC636.tmp
26.11.2005 17:19 39.910 jusched.log
21.11.2005 14:21 7.951 java_install_reg.log
21.11.2005 14:16 1.255.428 03.mpg
21.11.2005 14:16 1.306.628 02.mpg
21.11.2005 14:15 1.345.540 01.mpg
20.11.2005 14:40 0 ufp1C.tmp
20.11.2005 14:39 0 1bx1B.tmp
20.11.2005 14:37 0 cxx1A.tmp
20.11.2005 14:35 0 my819.tmp
14.11.2005 01:52 0 yt7206.tmp
14.11.2005 01:52 0 qg6205.tmp
14.11.2005 01:52 0 iw3204.tmp
14.11.2005 01:52 0 5zm203.tmp
13.11.2005 19:44 0 1mj150.tmp
13.11.2005 00:22 0 gcv1A3.tmp
06.11.2005 03:44 663 jupdate1.5.0.xml
05.11.2005 16:17 0 zov22.tmp
02.11.2005 22:21 0 ske14.tmp
02.11.2005 22:21 0 cha13.tmp
02.11.2005 22:20 0 ucg12.tmp
29.10.2005 17:08 717 control.xml
23.10.2005 12:54 0 mruCE.tmp
23.10.2005 12:54 0 qpqCD.tmp
23.10.2005 12:53 0 gcbCB.tmp
23.10.2005 11:25 81.920 ~B6.tmp
23.10.2005 10:53 0 n5o28.tmp
22.10.2005 16:29 81.920 ~B4.tmp
19.10.2005 15:48 45.096 _VWUPSRV.EXE
16.10.2005 19:31 81.920 ~C7.tmp
16.10.2005 18:43 0 30jBE.tmp
16.10.2005 18:42 0 9xtBD.tmp
16.10.2005 18:42 0 mg3BC.tmp
16.10.2005 18:41 0 yp9BB.tmp
16.10.2005 18:41 0 uoaBA.tmp
10.10.2005 09:32 0 ktvC.tmp
10.10.2005 09:31 0 7yaB.tmp
10.10.2005 09:31 0 htbA.tmp
10.10.2005 09:25 0 0mk9.tmp
09.10.2005 19:43 0 izaC9.tmp
09.10.2005 19:42 0 oaxC8.tmp
09.10.2005 19:40 0 uu0C7.tmp
09.10.2005 16:15 0 vuwBC.tmp
09.10.2005 16:11 0 rikBB.tmp
09.10.2005 16:09 0 w7bB9.tmp
08.10.2005 16:03 0 vzvA.tmp
08.10.2005 16:02 0 tv09.tmp
08.10.2005 15:54 0 31a8.tmp
04.10.2005 08:43 0 zsj9.tmp
04.10.2005 08:42 0 jo18.tmp
03.10.2005 16:16 0 1o06.tmp
02.10.2005 14:03 0 exb19.tmp
02.10.2005 14:02 0 92m18.tmp
01.10.2005 17:18 0 bg6B.tmp
19.09.2005 17:01 0 t86E.tmp
19.09.2005 17:00 0 vj9D.tmp
19.09.2005 16:58 0 r2qC.tmp
19.09.2005 16:49 0 u2yB.tmp
18.09.2005 15:16 42.256 297.jpg
18.09.2005 15:00 47.583 186.jpg
18.09.2005 14:59 49.352 178.jpg
18.09.2005 13:59 0 2p5F.tmp
17.09.2005 17:21 0 NEW45.html
17.09.2005 17:21 0 NEW45.tmp
10.09.2005 19:30 0 vzn6.tmp
10.09.2005 19:28 0 5oy5.tmp
10.09.2005 19:28 0 fvg4.tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E050-8CE2

Verzeichnis von C:\WINDOWS

26.11.2005 17:19 0 0.log
26.11.2005 17:19 1.848.953 WindowsUpdate.log
26.11.2005 17:19 2.048 bootstat.dat
26.11.2005 17:18 32.634 SchedLgU.Txt
14.11.2005 03:07 60.353 iis6.log
14.11.2005 03:07 140.505 comsetup.log
14.11.2005 03:07 84.753 ntdtcsetup.log
14.11.2005 03:07 1.393 imsins.log
14.11.2005 03:07 153.598 tsoc.log
14.11.2005 03:07 19.918 ocmsn.log
14.11.2005 03:07 11.855 KB896424.log
14.11.2005 03:07 191.832 ocgen.log
14.11.2005 03:07 19.894 msgsocm.log
14.11.2005 03:07 387.376 FaxSetup.log
14.11.2005 03:07 51.078 setupapi.log
14.11.2005 03:07 20.924 updspapi.log
29.10.2005 17:17 20.129 wmsetup.log
29.10.2005 17:17 460 wmsetup10.log
29.10.2005 17:16 38.763 Codec Pack - All In 1 Setup Log.txt
29.10.2005 17:15 737.280 iun6002.exe
22.10.2005 17:45 1.393 imsins.BAK
22.10.2005 17:45 22.046 KB901017.log
22.10.2005 17:45 24.499 KB902400.log
22.10.2005 17:44 15.077 KB896688.log
22.10.2005 17:44 14.117 KB905414.log
22.10.2005 17:44 13.871 KB900725.log
22.10.2005 17:43 11.237 KB904706.log
22.10.2005 17:43 11.939 KB905749.log
09.10.2005 19:40 192 winamp.ini
25.08.2005 03:17 50 wiaservc.log
25.08.2005 03:17 215 wiadebug.log
24.08.2005 13:03 267 phedit.ini
21.08.2005 10:34 17.660 KB899587.log
21.08.2005 10:34 17.151 KB899591.log
21.08.2005 10:34 17.271 KB893756.log
21.08.2005 10:34 16.615 KB896423.log
21.08.2005 10:34 17.426 KB896727.log
21.08.2005 10:33 13.535 KB899588.log
21.08.2005 10:33 13.281 KB894391.log
03.08.2005 20:42 99.970 UninstallFirefox.exe
03.08.2005 20:42 4.318 mozver.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E050-8CE2

Verzeichnis von C:\

26.11.2005 17:57 0 sys.txt
26.11.2005 17:57 7.926 system.txt
26.11.2005 17:57 18.472 systemtemp.txt
26.11.2005 17:56 94.628 system32.txt
26.11.2005 17:19 805.306.368 pagefile.sys
11.04.2005 18:30 211 boot.ini
11.04.2005 18:19 47.564 NTDETECT.COM
11.04.2005 18:19 251.184 ntldr
19.03.2005 22:05 0 IO.SYS
19.03.2005 22:05 0 CONFIG.SYS
19.03.2005 22:05 0 AUTOEXEC.BAT
19.03.2005 22:05 0 MSDOS.SYS
18.08.2001 05:00 4.952 bootfont.bin
13 Datei(en) 805.731.305 Bytes
0 Verzeichnis(se), 4.482.101.248 Bytes frei


Hoffe ich hab hier alles nötige gepostet damit Ihr mir unter die Arme greifen könnt. Kenn mich leider nicht so gut aus. Danke schon mal im voraus!

Gruß
Leiki
Seitenanfang Seitenende
25.11.2005, 21:06
Member

Beiträge: 156
#20 Hallo, ich hab auch dieses Schei...ding.


Da ich nicht zu den Technisch Versierten gehöre, wäre ich dankbar über eine Hilfestellung für PC Dummies....Danke.

Hier die logfile von Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 20:59:48, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\STEFAN~1.USE\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpA0C2.tmp
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware\Virenschutz\NAV\External\NORTON\APP\NAVShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\RunOnce: [Execute] C:\WINDOWS\System32\Tools\DelFolders.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - Startup: Reboot.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Hier die vier datfinder:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\WINDOWS\system32

25.11.2005 21:08 5.384 ncompat.tlb
25.11.2005 20:35 24.064 ld5BB7.tmp
25.11.2005 13:57 5.632 msvol.tlb
25.11.2005 13:57 20.480 hpA0C2.tmp
25.11.2005 13:29 2.206 wpa.dbl
25.11.2005 13:00 20.480 hpF24F.tmp
25.11.2005 11:48 98.304 svchosts.dll
25.11.2005 11:48 4.286 ot.ico
25.11.2005 11:48 4.286 ts.ico
25.11.2005 11:48 9.732 mssearchnet.exe
25.11.2005 11:48 13.916 nvctrl.exe
25.11.2005 11:46 14.512 mscornet.exe

17.11.2005 08:56 313.968 FNTCACHE.DAT
17.11.2005 08:44 46.220 NULL
17.11.2005 08:43 23.392 nscompat.tlb
17.11.2005 08:43 16.832 amcompat.tlb
17.11.2005 08:41 383.254 perfh009.dat
17.11.2005 08:41 53.608 perfc009.dat
17.11.2005 08:41 394.500 perfh007.dat
17.11.2005 08:41 64.598 perfc007.dat
17.11.2005 08:41 880.622 PerfStringBackup.INI
10.11.2005 21:17 2.377.568 MRT.exe
10.11.2005 19:04 6.656 Thumbs.db
10.11.2005 18:41 1.854 anfysaver.html
05.11.2005 00:43 76.518 VGAunistlog.ini
05.11.2005 00:43 2.448 VGAchecklog.txt
05.11.2005 00:43 187.470 VGAsetup2.ini
05.11.2005 00:41 117.915 VGAsetup1.ini
04.11.2005 20:44 32 {0843E3C8-1A20-4D26-BC94-63868D4A6729}.dat
04.11.2005 20:43 32 {232C38BE-790C-4E1F-8C6C-112E7F3F199A}.dat
04.11.2005 20:42 32 {B34BFB41-F6B3-494F-9414-039FDDECCF07}.dat
04.11.2005 20:41 32 {798D2723-ADB4-4DE8-AC3E-86154CBEB796}.dat
04.11.2005 20:41 32 {D2E0FF8C-B0F9-4FFB-AFE4-90751D7E9A68}.dat
04.11.2005 20:41 32 {D7D18109-C681-47BA-9FA8-B6E6CC220820}.dat
04.11.2005 20:40 32 {C58423CA-A13D-4468-8F20-41A6583AC03F}.dat
04.11.2005 20:39 14 SR2.dat
04.11.2005 20:34 247 spupdwxp.log
04.11.2005 20:00 25.065 wmpscheme.xml
04.11.2005 19:57 261 $winnt$.inf
__________
Danke für Eure super Unterstützung!
Lg Stefan
Dieser Beitrag wurde am 25.11.2005 um 21:13 Uhr von Okto1967 editiert.
Seitenanfang Seitenende
26.11.2005, 00:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Okto1967

rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

------------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ld5BB7.tmp
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\hpA0C2.tmp
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\hpF24F.tmp
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mscornet.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei spyaxe.reg auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

----------------------------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpA0C2.tmp

PC neustarten

deinstalliere:
SpyAxe

Killbox;
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
-----------------------------------------------
wende CleanUp an
http://virus-protect.org/cleanup.html

smitRem TOOL (Entfernungstool)

http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

scanne mit Panda--> poste den scanreport
http://virus-protect.org/onlinescan.html

scanne mit ewido--> poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.11.2005, 00:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Leikamoser

echtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm.

http://virus-protect.org/reg/spyaxe.reg

------------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\hp4687.tmp
C:\WINDOWS\system32\ld4565.tmp
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\mscornet.exe

PC neustarten

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei spyaxe.reg auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird.

----------------------------------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp4687.tmp
O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h

pc neustarten

deinstalliere:
SpyAxe

Killbox;
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
-----------------------------------------------
wende CleanUp an
http://virus-protect.org/cleanup.html

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

scanne mit Panda--> poste den scanreport
http://virus-protect.org/onlinescan.html

scanne mit ewido--> poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.11.2005, 10:37
...neu hier

Beiträge: 5
#23 Hallo Sabina,

Danke Dir für die schnelle Hilfe. Machst nen super job hier!
Hoffe ich habe alles richtig gemacht!
Mit Panda kann ich leider nicht scannen. Funktioniert bei mir irgendwie nicht.

Hier die logfiles:


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

Free XXX Sites List.url
Antivirus Test Online.url

~~~ system32 folder ~~~

1024 dir
ld****.tmp
hp***.tmp


~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

1024 dir
ld****.tmp
hp***.tmp

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

wininet.dll is missing!!



---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 10:41:39, 27.11.2005
+ Report-Checksumme: 3BF5960D

+ Scanergebnis:

C:\Dokumente und Einstellungen\Leiki\Cookies\leiki@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup


::Report Ende

Anzeige etc. scheint weg zu sein. Muss ich sonst noch was beachten bzw. wie kann ich mich vor so nem Zeug besser schützen?

Gruß
Leikamoser
Seitenanfang Seitenende
26.11.2005, 15:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Leikamoser

loeschen:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\WINDOWS\system32\1024

wende CleanUp an
http://virus-protect.org/cleanup.html

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.11.2005, 17:54
...neu hier

Beiträge: 5
#25 Sooooooo,

hier die Kopie von der wininet.bat:

Verzeichnis von C:\WINDOWS\$hf_mig$\KB883939\SP2QFE

02.05.2005 21:58 664.576 wininet.dll
1 Datei(en) 664.576 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB890923\SP2QFE

10.03.2005 08:47 663.552 wininet.dll
1 Datei(en) 663.552 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB896688\SP2QFE

03.09.2005 00:53 666.112 wininet.dll
1 Datei(en) 666.112 Bytes

Verzeichnis von C:\WINDOWS\$hf_mig$\KB896727\SP2QFE

03.07.2005 03:11 665.088 wininet.dll
1 Datei(en) 665.088 Bytes

Verzeichnis von C:\WINDOWS\$NtServicePackUninstall$

23.08.2004 17:15 590.336 wininet.dll
1 Datei(en) 590.336 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB834707-IE6-20040929.115007$

18.08.2001 05:00 599.552 wininet.dll
1 Datei(en) 599.552 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB883939$

10.03.2005 09:04 662.528 wininet.dll
1 Datei(en) 662.528 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB890923$

04.08.2004 08:57 662.016 wininet.dll
1 Datei(en) 662.016 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB896688$

03.07.2005 03:15 664.064 wininet.dll
1 Datei(en) 664.064 Bytes

Verzeichnis von C:\WINDOWS\$NtUninstallKB896727$
Seitenanfang Seitenende
26.11.2005, 20:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Leikamoser

ich verstehe das nicht:

Zitat

wininet.dll is missing!!
scane bitte noch mal mit :smitRem
und poste das Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2005, 11:08
...neu hier

Beiträge: 4
#27 oh man... mich hats auch erwischt...
hier ist das hijackthis zeug:

Logfile of HijackThis v1.99.1
Scan saved at 10:58:40, on 27.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alle\Desktop\Divers\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp8EF1.tmp
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: win-data 7 Zahlungserinnerung.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.
com/cgi-bin/installer.v4/vet_install_popup.pl?1&4&04.00.09.13&unknown&unknown&http:
//62.3.133.38/DE/24_3d_view_my_car_pop.jsp
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://mail.physik.uni-wuerzburg.de/iNotes6.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5554EAED-1A62-49AC-9B18-1F1644CD84B5}: NameServer = 217.237.150.33 217.237.151.161
O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

--------

und hier die datfind dinger...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 908A-F8D3

Verzeichnis von C:\WINDOWS\SYSTEM32

27.11.2005 11:09 5.384 ncompat.tlb
27.11.2005 10:36 35.882 vsconfig.xml
27.11.2005 10:36 5.632 msvol.tlb
27.11.2005 10:36 20.480 hp8EF1.tmp
26.11.2005 09:50 13.916 nvctrl.exe
26.11.2005 09:48 22.016 ldB0A2.tmp
25.11.2005 18:12 4.286 ts.ico
25.11.2005 18:12 4.286 ot.ico
25.11.2005 17:11 98.304 svchosts.dll
25.11.2005 17:11 9.732 mssearchnet.exe
25.11.2005 17:08 4.212 zllictbl.dat
25.11.2005 16:47 1.170 WPA.DBL
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
12.11.2005 09:22 230.872 FNTCACHE.DAT
11.11.2005 06:00 2.377.568 MRT.exe
30.10.2005 08:52 319.870 PERFH007.DAT
30.10.2005 08:52 41.378 PERFC009.DAT
30.10.2005 08:52 49.856 PERFC007.DAT
30.10.2005 08:52 314.422 PERFH009.DAT
30.10.2005 08:52 732.988 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 152.064 cdfview.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
31.08.2005 12:01 0 pavjob.log
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
03.08.2005 10:58 10.380 QuickTime.qtp
03.08.2005 10:57 10.112 QuickTimeFavorites.qtr
---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 908A-F8D3

Verzeichnis von C:\DOKUME~1\Alle\LOKALE~1\Temp

---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 908A-F8D3

Verzeichnis von C:\WINDOWS

27.11.2005 11:10 20 ACMonitor_X84-X85.ini
27.11.2005 10:58 32.458 SchedLgU.Txt
27.11.2005 10:37 1.052.608 WindowsUpdate.log
27.11.2005 10:36 2.118 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
27.11.2005 10:36 0 0.log
27.11.2005 10:36 2.048 BOOTSTAT.DAT
26.11.2005 21:00 1.125 winamp.ini
20.11.2005 19:32 54.156 QTFont.qfn
13.11.2005 12:55 377 SIERRA.INI
11.11.2005 19:42 49 NeroDigital.ini
28.10.2005 19:21 194 X84-X85_DS.ini
08.10.2005 08:16 941 orun32.ini
04.10.2005 08:34 1.409 QTFont.for
28.09.2005 17:46 120.624 War3Unin.dat
21.09.2005 21:18 99.965 UninstallFirefox.exe
21.09.2005 21:18 11.636 mozver.dat
29.08.2005 11:40 1.073 WIN.INI
24.08.2005 01:40 513 wincmd.ini
24.08.2005 01:37 149 wcx_ftp.ini
31.07.2005 17:11 34 tse.bin
22.07.2005 11:22 93 'STIHL Bildschirmschoner'.ini
22.07.2005 11:21 55 FSaver.ini
16.06.2005 16:45 316.640 WMSysPr9.prx
16.06.2005 15:33 0 002973_.tmp
31.05.2005 05:53 545 RAR.PIF
31.05.2005 05:53 545 LHA.PIF
31.05.2005 05:53 545 PKUNZIP.PIF
31.05.2005 05:53 545 PKZIP.PIF
31.05.2005 05:53 545 ARJ.PIF
31.05.2005 05:53 545 UC.PIF
31.05.2005 05:53 545 NOCLOSE.PIF
30.05.2005 19:33 3.215 tm.ini
27.05.2005 00:22 10.752 hh.exe
13.05.2005 06:46 4 info147.sys
13.05.2005 06:46 4 num41.jbd
03.04.2005 20:24 77.312 pysoft_uninstaller.exe
03.04.2005 19:16 50.688 NDNuninstall6_38.exe
06.02.2005 21:12 0 nsreg.dat
31.01.2005 15:19 140 iPlayer.INI
03.01.2005 16:00 762 eReg.dat
---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 908A-F8D3

Verzeichnis von C:\

27.11.2005 11:11 0 sys.txt
27.11.2005 11:10 6.715 system.txt
27.11.2005 11:10 132 systemtemp.txt
27.11.2005 11:10 120.263 system32.txt
27.11.2005 10:36 1.072.762.880 hiberfil.sys
27.11.2005 10:36 1.610.612.736 pagefile.sys
06.08.2005 14:34 166.973 PANDA.RPT
16.06.2005 15:46 211 BOOT.INI
16.06.2005 15:38 47.564 NTDETECT.COM
25.09.2004 08:14 251.184 NTLDR
26.11.2003 10:18 4.582 DELL.SDR
11.09.2002 14:48 0 MSDOS.SYS
11.09.2002 14:48 0 CONFIG.SYS
11.09.2002 14:48 0 IO.SYS
11.09.2002 14:48 0 AUTOEXEC.BAT
11.09.2002 14:25 512 BOOTSECT.DOS
29.08.2002 06:00 4.952 BOOTFONT.BIN
17 Datei(en) 2.683.978.704 Bytes
0 Verzeichnis(se), 8.573.505.536 Bytes frei

vielen dank schon mal im voraus, das ding geht einem echt auf die nerven...
Dieser Beitrag wurde am 27.11.2005 um 11:12 Uhr von SebboF editiert.
Seitenanfang Seitenende
27.11.2005, 12:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 SebboF

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg
----------------------------------------------------------------------

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\SYSTEM32\ncompat.tlb
C:\WINDOWS\SYSTEM32\vsconfig.xml
C:\WINDOWS\SYSTEM32\msvol.tlb
C:\WINDOWS\SYSTEM32\hp8EF1.tmp
C:\WINDOWS\SYSTEM32\nvctrl.exe
C:\WINDOWS\SYSTEM32\ldB0A2.tmp
C:\WINDOWS\SYSTEM32\ts.ico
C:\WINDOWS\SYSTEM32\ot.ico
C:\WINDOWS\SYSTEM32\svchosts.dll
C:\WINDOWS\SYSTEM32\mssearchnet.exe
C:\WINDOWS\NDNuninstall6_38.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

--------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp8EF1.tmp
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - (no file)

PC neustarten

wende ClearUp an (C:\DOKUME~1\ADMIN\LOKALE~1\Temp --> muss leer sein)
http://virus-protect.org/cleanup.html

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread

loesche:
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\WINDOWS\system32\1024

scanne mit Panda ( du musst dann manuell loeschen, was angezeigt wird)
http://virus-protect.org/onlinescan.html

- Lade Java-Sun neu
- loeschen/deinstallieren: C:\WINDOWS\System32\P2P Networking

counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2005, 13:54
...neu hier

Beiträge: 5
#29 Hallo,

hier noch mal die logfile von smitrem:


smitRem © log file
version 2.7

by noahdfear

Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

ld****.tmp
hp***.tmp

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

ld****.tmp
hp***.tmp

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

wininet.dll is missing!!
Seitenanfang Seitenende
27.11.2005, 14:40
...neu hier

Beiträge: 4
#30 hallo!
tausen dank erst einmal für die ausführliche hilfe!

die beiden dateien:
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url
C:\WINDOWS\system32\1024
habe ich gar nicht gefunden... vielleicht wurden sie schon zuvor gelöscht... (bzgl. der 1. datei: ich habe gar keinen unterordner "username" in "dokumente und einstellungen" gefunden...)

und ich wollte noch fragen wo ich java-sun neu laden kann

hier ist noch die smitfiles.txt-datei:

smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~

Free XXX Sites List.url
Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)

----

ich bin gerade beim panda-scan... hoffentlihc kommt dann nichts mehr ;)

gruß,
sebbo
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: