Entfernen des WinFixer |
||
---|---|---|
#0
| ||
21.11.2005, 15:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.11.2005, 16:01
...neu hier
Beiträge: 2 |
#32
Danke Sabina,
ich hatte es mir echt schon fast gedacht...also dann mach ich mich da mal ans Werk:-) Viele Grüße Oona |
|
|
||
21.11.2005, 22:07
...neu hier
Beiträge: 8 |
#33
Hi,
habe mir diese Winfixer-Schei... durch eigene Dummheit leider auch eingefangen. Es gehen dauernd beim Surfen Popups auf und ab und zu werde ich auch einfach zu anderen Seiten umgeleitet. Und dazwischen fragt mich immer ein Alert-Fenster, ob es Winfixer jetzt installieren soll. Folgender Log ist von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 23:38:11, on 21.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\Programme\F-Secure\Common\FIH32.EXE C:\WINDOWS\Explorer.EXE C:\Programme\F-Secure\Common\FSM32.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\SK7600DM.EXE C:\WINDOWS\system32\pctspk.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\DENISR~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IRiras Class - {95C60327-8E17-44D6-98EB-7EB70CC606DD} - C:\WINDOWS\system32\irasipym.dll O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy11D.dll O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsq169.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Hot Key Kbd 7600 Daemon] SK7600DM.EXE O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe O4 - Startup: Microsoft Office Outlook 2003.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126819136763 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130070471471 O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://192.168.0.2/Remote/msrdp.cab O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxor/mjolauncher.cab O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Programme\F-Secure\BackWeb\7681197\Program\fsbwlan.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Programme\F-Secure\Common\FSAA.EXE O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Wäre extrem dankbar, wenn ihr mir helfen könntet. Habe es trotz stundenlangem Googeln bisher nicht geschafft, die Schei... loszuwerden. |
|
|
||
22.11.2005, 00:13
Ehrenmitglied
Beiträge: 29434 |
#34
Hallo@DickUndDoof
CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ------------- Froeste und Abbrueche..... WinFixer2005-->Info http://virus-protect.org/artikel/spyware/winfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.11.2005, 08:50
...neu hier
Beiträge: 8 |
#35
OK, habe VundoFix heruntergeladen, vorher alle temporären Dateien gelöscht und diese 4 Textdateien erhalten:
sys.txt: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\ 21.11.2005 23:51 0 sys.txt 21.11.2005 23:51 4.305 system.txt 21.11.2005 23:50 400 systemtemp.txt 21.11.2005 23:50 101.128 system32.txt 21.11.2005 23:35 1.072.742.400 hiberfil.sys 21.11.2005 23:35 1.610.612.736 pagefile.sys . . . system32.txt: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\WINDOWS\system32 22.11.2005 00:10 3.262 baseball.ico 22.11.2005 00:10 3.262 freegas1.ico 22.11.2005 00:10 3.262 ipod nano1.ico 22.11.2005 00:10 3.262 tv1.ico 22.11.2005 00:10 3.262 creditcard32123123123asdsa123.ico 22.11.2005 00:10 19.942 virushunter4.ico 22.11.2005 00:10 3.262 tv.ico 22.11.2005 00:10 3.262 ringtone2.ico 22.11.2005 00:10 3.262 sony psp1.ico 22.11.2005 00:10 3.262 xboxab.ico 21.11.2005 23:35 12.598 wpa.dbl 21.11.2005 00:07 46.569 unrasmon.exe 21.11.2005 00:07 32.768 irasyncd.exe 21.11.2005 00:07 229.376 irasipym.dll 21.11.2005 00:07 417.792 rastmon.dll 21.11.2005 00:06 24.576 msxml3a.dll . . . system.txt: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\WINDOWS 21.11.2005 23:44 726 win.ini 21.11.2005 23:40 7.388 SchedLgU.Txt 21.11.2005 23:35 705.573 WindowsUpdate.log 21.11.2005 23:35 159 wiadebug.log 21.11.2005 23:35 50 wiaservc.log 21.11.2005 23:35 2.048 bootstat.dat . . . systemtemp.txt: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\DOKUME~1\[user]\LOKALE~1\Temp 21.11.2005 23:50 115.061 snapradi.tmp 21.11.2005 23:36 512 ~DF1D21.tmp 21.11.2005 23:36 512 ~DF1A8F.tmp 3 Datei(en) 116.085 Bytes 0 Verzeichnis(se), 13.704.273.920 Bytes frei habe die Dateien mit älterem Datum als die Infektion rausgelassen. Kannst Du damit was anfangen? |
|
|
||
22.11.2005, 10:36
Ehrenmitglied
Beiträge: 29434 |
#36
Hallo@DickUndDoof
dennoch....ich will alle Dateien bis Anfang September sehen...ich weiss, warum + Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Zitat Adw.NewAds.IRASSync is silently installed as a browser helper object. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.11.2005, 11:11
...neu hier
Beiträge: 8 |
#37
Mist, dann hab' ich zu viel mitgedacht *g*
OK, wird aber länglich: sys.txt: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\ 21.11.2005 23:51 0 sys.txt 21.11.2005 23:51 4.305 system.txt 21.11.2005 23:50 400 systemtemp.txt 21.11.2005 23:50 101.128 system32.txt 21.11.2005 23:35 1.072.742.400 hiberfil.sys 21.11.2005 23:35 1.610.612.736 pagefile.sys 08.11.2005 10:08 3.200 NETRKDB.DAT 08.11.2005 10:08 42 ST54.IDX 08.11.2005 10:08 52 ST57.IDX 08.11.2005 10:08 42 ST4E.IDX 08.11.2005 10:08 42 ST53.IDX 08.11.2005 10:08 2.056 TDBIDXL.DAT 08.11.2005 10:08 52 ST4C.IDX 08.11.2005 10:08 72 ST49.IDX 08.11.2005 10:08 42 CA43.IDX 08.11.2005 10:08 2.188 NECDB.DAT 08.11.2005 10:08 3.080 CDBIDXL.DAT 08.11.2005 10:08 42 CT33.IDX 07.10.2005 16:00 211 boot.ini 19.09.2005 22:21 211 BOOT.BKK 16.09.2005 22:11 1.180 _Sid.txt 15.09.2005 22:07 0 AUTOEXEC.BAT 15.09.2005 22:07 0 MSDOS.SYS 15.09.2005 22:07 0 IO.SYS 15.09.2005 22:07 0 CONFIG.SYS [...] --> Der Rest ist älter als September 1304 Datei(en) 2.683.817.639 Bytes 0 Verzeichnis(se), 13.704.187.904 Bytes frei system32.txt: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\WINDOWS\system32 22.11.2005 00:10 3.262 baseball.ico 22.11.2005 00:10 3.262 freegas1.ico 22.11.2005 00:10 3.262 ipod nano1.ico 22.11.2005 00:10 3.262 tv1.ico 22.11.2005 00:10 3.262 creditcard32123123123asdsa123.ico 22.11.2005 00:10 19.942 virushunter4.ico 22.11.2005 00:10 3.262 tv.ico 22.11.2005 00:10 3.262 ringtone2.ico 22.11.2005 00:10 3.262 sony psp1.ico 22.11.2005 00:10 3.262 xboxab.ico 21.11.2005 23:35 12.598 wpa.dbl 21.11.2005 00:07 46.569 unrasmon.exe 21.11.2005 00:07 32.768 irasyncd.exe 21.11.2005 00:07 229.376 irasipym.dll 21.11.2005 00:07 417.792 rastmon.dll 21.11.2005 00:06 24.576 msxml3a.dll 10.11.2005 10:28 63.792 perfc009.dat 10.11.2005 10:28 404.572 perfh009.dat 10.11.2005 10:28 420.406 perfh007.dat 10.11.2005 10:28 76.690 perfc007.dat 10.11.2005 10:28 973.062 PerfStringBackup.INI 10.11.2005 10:04 240.736 FNTCACHE.DAT 08.11.2005 20:48 151.552 nsq169.dll ???? 02.11.2005 06:34 2.377.568 MRT.exe 17.10.2005 20:58 65.536 QuickTimeVR.qtx 17.10.2005 20:57 49.152 QuickTime.qts 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 23:02 5.531 jupdate-1.5.0_05-b05.log 04.10.2005 16:26 3.013.120 mshtml.dll 23.09.2005 07:28 270.848 mscoree.dll 23.09.2005 07:28 150.016 mscorier.dll 23.09.2005 07:28 74.240 mscories.dll 23.09.2005 07:28 83.456 dfshim.dll 23.09.2005 04:06 8.491.520 shell32.dll 21.09.2005 21:41 2.493 INSTALL.LOG [...] --> Der Rest ist älter als September 2071 Datei(en) 366.428.307 Bytes 0 Verzeichnis(se), 13.704.355.840 Bytes frei system.txt: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\WINDOWS 21.11.2005 23:44 726 win.ini 21.11.2005 23:40 7.388 SchedLgU.Txt 21.11.2005 23:35 705.573 WindowsUpdate.log 21.11.2005 23:35 159 wiadebug.log 21.11.2005 23:35 50 wiaservc.log 21.11.2005 23:35 2.048 bootstat.dat 16.11.2005 15:42 54.156 QTFont.qfn 15.11.2005 13:29 14 popcinfo.dat 12.11.2005 12:28 202 NeroDigital.ini 10.11.2005 20:32 1.409 QTFont.for 10.11.2005 10:21 316.640 WMSysPr9.prx 10.11.2005 10:05 5.903 PSPICEEV.INI 08.11.2005 10:54 155 winamp.ini 03.11.2005 10:03 0 nsreg.dat 23.10.2005 14:05 22 raptinfo.dat 07.10.2005 16:14 0 Ui.INI 07.10.2005 16:00 227 system.ini 03.10.2005 22:53 99.970 UninstallFirefox.exe 03.10.2005 22:53 3.201 mozver.dat 21.09.2005 21:40 43.032 php.ini 20.09.2005 21:05 26 NeoSetup.INI 19.09.2005 22:33 400 ODBC.INI 19.09.2005 22:31 842 UPGRADE.TXT 19.09.2005 22:27 100.724 cpeins04.dat 19.09.2005 22:26 99.720 CPEins05.dat 19.09.2005 22:26 333.274 setupapi.old 19.09.2005 22:25 4.161 ODBCINST.INI 19.09.2005 22:24 749 WindowsShell.Manifest 16.09.2005 23:01 697 hpntwksetup.ini 16.09.2005 22:11 104.649 hpoins04.dat 15.09.2005 22:25 2.521 FSAV.MIF 15.09.2005 22:24 81.920 bwUnin-6.1.4.58-7681197L.exe 15.09.2005 22:07 0 control.ini 15.09.2005 22:03 37 vbaddin.ini 15.09.2005 22:03 36 vb.ini 15.09.2005 22:00 8.192 REGLOCS.OLD 14.09.2005 23:30 0 Sti_Trace.log [...] --> Der Rest ist älter als September 82 Datei(en) 10.175.995 Bytes 0 Verzeichnis(se), 13.704.261.632 Bytes frei Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 34A5-C6F1 Verzeichnis von C:\DOKUME~1\[user]\LOKALE~1\Temp 21.11.2005 23:50 115.061 snapradi.tmp 21.11.2005 23:36 512 ~DF1D21.tmp 21.11.2005 23:36 512 ~DF1A8F.tmp 3 Datei(en) 116.085 Bytes 0 Verzeichnis(se), 13.704.273.920 Bytes frei |
|
|
||
22.11.2005, 11:45
Ehrenmitglied
Beiträge: 29434 |
#38
ich weiss, dass es Viren sind, aber die Virenscanner sollen es auch wissen
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\nsq169.dll C:\WINDOWS\system32\unrasmon.exe C:\WINDOWS\system32\irasyncd.exe C:\WINDOWS\system32\irasipym.dll C:\WINDOWS\system32\rastmon.dll C:\WINDOWS\system32\msxml3a.dll -------------------------------------------------------------------- danach beginnt die Reinigung (---> ich brauche den korrekten Pfad: C:\DOKUME~1\[user]\LOKALE~1\Temp + Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.11.2005, 12:27
...neu hier
Beiträge: 8 |
#39
Meinst Du hier ins allgemeine Sicherheitsforum?
|
|
|
||
22.11.2005, 12:29
Ehrenmitglied
Beiträge: 29434 |
#40
ich meine...du sollst die Ergebnisse hier posten
+ Zitat (---> ich brauche den korrekten Pfad:+ Zitat Hijackthis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.11.2005, 13:07
...neu hier
Beiträge: 8 |
#41
Ergebnis:
Datei: nsq169.dll Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Win32:Adan-015 gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Adware.Hotbar gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Adware/Beginto gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.HotSearchBar.i gefunden NOD32 Win32/Adware.HotSearchBar application gefunden Norman Virus Control W32/Hotbar.BO gefunden UNA Keine Viren gefunden VBA32 AdWare.ToolBar.HotSearchBar.i gefunden Datei: unrasmon.exe Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Datei: irasyncd.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Adware.SafeSurf gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Adware/Safesurf gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.SafeSurfing.x gefunden NOD32 a variant of Win32/Adware.SafeSurfing application gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Adware.SafeSurf gefunden Datei: irasipym.dll Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Adware.SafeSurf gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Adware/Safesurf gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.SafeSurfing.r gefunden NOD32 a variant of Win32/Adware.SafeSurfing application gefunden Norman Virus Control Keine Viren gefunden UNA Adware.SafeSurfing gefunden VBA32 AdWare.Win32.SafeSurfing.r gefunden Datei: rastmon.dll Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Datei: msxml3a.dll Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Der korrekte Pfad: C:\DOKUME~1\DENISR~1\LOKALE~1\Temp HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 10:56:53, on 22.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\WINDOWS\Explorer.EXE C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Apache Group\Apache2\bin\Apache.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\F-Secure\Common\FSM32.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\SK7600DM.EXE C:\WINDOWS\system32\pctspk.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\GameHouse\Luxor\luxor.exe C:\DOKUME~1\DENISR~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IRiras Class - {95C60327-8E17-44D6-98EB-7EB70CC606DD} - C:\WINDOWS\system32\irasipym.dll O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy11D.dll O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsq169.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Hot Key Kbd 7600 Daemon] SK7600DM.EXE O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe O4 - Startup: Microsoft Office Outlook 2003.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126819136763 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130070471471 O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://192.168.0.2/Remote/msrdp.cab O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxor/mjolauncher.cab O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O23 - Service: Apache2 - Unknown owner - C:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Programme\F-Secure\BackWeb\7681197\Program\fsbwlan.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Programme\F-Secure\Common\FSAA.EXE O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe |
|
|
||
22.11.2005, 13:16
Ehrenmitglied
Beiträge: 29434 |
#42
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4KillBox http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\baseball.ico C:\WINDOWS\system32\freegas1.ico C:\WINDOWS\system32\ipod nano1.ico C:\WINDOWS\system32\tv1.ico C:\WINDOWS\system32\creditcard32123123123asdsa123.ico C:\WINDOWS\system32\virushunter4.ico C:\WINDOWS\system32\tv.ico C:\WINDOWS\system32\ringtone2.ico C:\WINDOWS\system32\sony psp1.ico C:\WINDOWS\system32\xboxab.ico C:\WINDOWS\system32\unrasmon.exe C:\WINDOWS\system32\irasyncd.exe C:\DOKUME~1\DENISR~1\LOKALE~1\Temp\snapradi.tmp C:\WINDOWS\system32\irasipym.dll C:\WINDOWS\system32\rastmon.dll C:\WINDOWS\system32\msxml3a.dll C:\WINDOWS\system32\nsq169.dll C:\WINDOWS\system32\nsy11D.dll PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken (wenn die reg-Datei nicht klappen sollte, musst du manuell in der registry suchen/loeschen) suche eine exe aehnlich wie diese und loesche sie C:\WINDOWS\Downloaded Program Files\uwfx5_0001_lp1014netinstaller.exe öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: IRiras Class - {95C60327-8E17-44D6-98EB-7EB70CC606DD} - C:\WINDOWS\system32\irasipym.dll O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsy11D.dll O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsq169.dll O4 - HKCU\..\Run: [irassync] C:\WINDOWS\system32\irasyncd.exe PC neustarten CleanUp anwenden http://virus-protect.org/cleanup.html spysweeper (trial) --> scanne und poste den scanreport http://virus-protect.org/spysweeper.html -------------- Info: http://www.virus-protect.org/artikel/spyware/unrasmon.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.11.2005, 16:57
...neu hier
Beiträge: 8 |
#43
Spy Sweeper sagt:
Spy Sweeper will provide you with detailed information about the operations being performed in this area. Automated check for new spyware definitions now underway. Automated check for program update in progress. Your Spy Sweeper application is up to date. Automated check for news in progress. ... news is ready for your viewing. Updating spyware definitions from Webroot.com Please wait... This may take a few minutes... Your spyware definitions have been updated. You are now protected against 114552 known traces. The shields above are available with this version of Spy Sweeper. The shields above are available with this version of Spy Sweeper. To ensure proper removal of spyware, adware and other unwanted items, be sure to close any programs that are open. Your Sweep Options indicate the following will be swept: Drives: C: Also sweeping: Memory, Cookies, Registry Adware found: begin2search Adware found: hotsearchbar toolbar Adware found: desktoptraffic Adware found: safesurf Full Sweep has completed. Elapsed time 00:20:17 Traces Found: 8109 DIe Popups sind erstmal weg. |
|
|
||
22.11.2005, 18:14
Ehrenmitglied
Beiträge: 6028 |
||
|
||
22.11.2005, 23:48
Ehrenmitglied
Beiträge: 29434 |
#45
DickUndDoof
es muss doch auch einen detaillierten Scanbericht geben Zitat Scanbericht: Spysweeperposte ihn noch, dann deinstalliere spysweeper und lade Countersoy http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich empfehle, windows neu zu installieren...derPC ist voellig verseucht und das alles sauberzubekommen...zumal bei Win98 ...ist nicht moeglich....
(Dialer, Spyware, Viren, Trojaner...es fehlt an nichts....)
O4 - HKLM\..\Run: [Nsv] C:\WINDOWS\SYSTEM\nsvsvc\nsvsvc.exe
O4 - HKLM\..\Run: [IST Service] \ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [SAHBundle] C:\WINDOWS\TEMP\SAHAGENT.EXE run
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\SYSTEM\VIDMON\VIDMON.EXE
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://fred.gibraltarapes.com/download/dialer/eu_cax.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.download-url.de/StarInstall.ocx
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFixer2005ScannerInstallDE.cab
__________
MfG Sabina
rund um die PC-Sicherheit