mein Browser öffnet immer selbstständig mit lästiger WerbungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.11.2005, 15:10
...neu hier
Beiträge: 2 |
||
|
||
20.11.2005, 23:19
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@rohntrup
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Kennen Sie die IP oder die Domäne '85.237.87.165,217.20.114.119' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119 O17 - HKLM\System\CCS\Services\Tcpip\..\{09F7E521-F236-4DAD-B2CE-E04B4A876533}: NameServer = 85.237.87.165,217.20.114.119 O17 - HKLM\System\CCS\Services\Tcpip\..\{16933D3E-8F5A-4121-BE59-CA9AB02685D8}: NameServer = 85.237.87.165,217.20.114.119 O17 - HKLM\System\CCS\Services\Tcpip\..\{B0C9B824-86C4-4074-A003-ADB445A20874}: NameServer = 85.237.87.165,217.20.114.119 O17 - HKLM\System\CCS\Services\Tcpip\..\{DECCFA85-456D-402E-8B6E-557D22221518}: NameServer = 85.237.87.165,217.20.114.119 O17 - HKLM\System\CS1\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119 O17 - HKLM\System\CS2\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = PC neustarten erstelle , falls du die Eintraege gefixt hast, eine neue Internetverbindung scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.11.2005, 10:52
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo Sabina!
danke für die schnelle Antwort. Deinen Vorschlag habe ich ausgeführt, leider ohne Erfolg. Ausserdem habe ich mit e-scan einen Check durchgeführt, der aber auch keine Ergebnisse brachte. Was kann man noch tun? Gruß Rainer |
|
|
||
21.11.2005, 12:32
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@rohntrup
was ist das? ist es eine regulaere Softwaere? O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe wende Cleanup an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.12.2005, 15:56
Member
Beiträge: 279 |
#5
Hi Biene,
bin gerade darueber gestolpert, weil in anderem Thread auch den Eintrag hab. Schau mal hier: LittleHelper Adware LG, __________ Yourhighness Yourhighness' Seite / Mein Blog (Englisch) |
|
|
||
12.02.2006, 17:44
...neu hier
Beiträge: 3 |
#6
Hallo zusammen
Ich habe leider das gleiche Problem Hier ist auch mein Log: Logfile of HijackThis v1.99.1 Scan saved at 17:27:11, on 12.02.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\TELEGEIZ\TELEGEIZ.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE C:\windows\winsysban7.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Ruhe\Ruhe.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\phase6\phase6_V1_5\phase-6.exe C:\Programme\Trillian\trillian.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\MH\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SOUNDMAN Microsoft Help] soun.pif O4 - HKLM\..\Run: [hostserv] hostserv.exe O4 - HKLM\..\Run: [TeleGeiz] C:\PROGRA~1\TELEGEIZ\TELEGEIZ.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [SOUNDMAN Microsoft Help] soun.pif O4 - HKLM\..\RunServices: [hostserv] hostserv.exe O4 - HKLM\..\RunServicesOnce: [capscanuninstall] "C:\WINDOWS\command.com" /c del "C:\DOKUME~1\MH\LOKALE~1\Temp\uninstal.exe" O4 - HKCU\..\Run: [hostserv] hostserv.exe O4 - HKCU\..\Run: [ufkw] C:\PROGRA~1\GEMEIN~1\ufkw\ufkwm.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\phase6_V1_5\WinStart\WinStart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ruhe.lnk = C:\Programme\Ruhe\Ruhe.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O15 - Trusted Zone: http://*.billingnow.com O15 - Trusted Zone: http://*.reliablestats.com O15 - Trusted Zone: http://*.winantispyware.com O15 - Trusted Zone: http://*.winantivirus.com O15 - Trusted Zone: http://*.winantiviruspro.com O15 - Trusted Zone: http://*.winfixer.com O15 - Trusted Zone: http://*.winnanny.com O15 - Trusted Zone: http://*.winsoftware.com O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\o848lihu1848.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Local Security Authority Server (LSA Server) - Unknown owner - C:\WINDOWS\System32\lsasrv.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Könnte mir jemand sagen was bei mir die malware sind? Würde mich auch sehr über Hilfe freuen! Gruß MarcusH |
|
|
||
12.02.2006, 21:54
Ehrenmitglied
Beiträge: 29434 |
#7
MarcusH
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.02.2006, 18:06
...neu hier
Beiträge: 3 |
#8
Verzeichnis von C:\WINDOWS\SYSTEM32
13.02.2006 17:58 235.479 guard.tmp 13.02.2006 17:56 235.479 ngapi16.dll 13.02.2006 17:50 233.631 gpl2l33o1.dll 13.02.2006 17:47 2.206 wpa.dbl 12.02.2006 16:30 235.479 dnnu0159e.dll 10.02.2006 21:23 2 stera.job 09.02.2006 20:13 233.484 j24o0ch3ef4.dll 07.02.2006 21:16 15.360 BASSMOD.dll 04.02.2006 12:39 926.241 model.dat 04.02.2006 12:39 53.248 silc_dll.dll 24.01.2006 17:16 121.336 FNTCACHE.DAT 22.01.2006 21:30 8.464 sporder.dll 18.01.2006 13:05 57.344 avsda.dll 01.01.2006 17:07 7.006 jupdate-1.5.0_06-b05.log 28.12.2005 15:40 23.392 nscompat.tlb 28.12.2005 15:40 16.832 amcompat.tlb 28.12.2005 15:40 2.272 w95inf16.dll 28.12.2005 15:40 4.608 w95inf32.dll 24.12.2005 15:13 17.212 SIntf32.dll 24.12.2005 15:13 21.840 SIntfNT.dll 24.12.2005 15:13 12.067 SIntf16.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe Verzeichnis von C:\DOKUME~1\MH\LOKALE~1\Temp 13.02.2006 17:57 71.680 GLB4.tmp 1 Datei(en) 71.680 Bytes 0 Verzeichnis(se), 3.560.751.104 Bytes frei (mehr steht da nicht) Verzeichnis von C:\WINDOWS 13.02.2006 17:56 0 0.log 13.02.2006 17:55 2.048 bootstat.dat 13.02.2006 17:49 0 winsysupd81.dat 13.02.2006 17:49 40 teller2.chk 13.02.2006 17:49 90.112 winsysban8.exe 13.02.2006 17:49 0 winsysupd71.dat 13.02.2006 17:48 36.864 winsysupd8.exe 12.02.2006 15:27 1.125 winamp.ini 10.02.2006 21:22 1.063.483 setupapi.log 10.02.2006 15:25 10.624 EPSTPLOG.TXT 10.02.2006 15:20 19.110 Windows Update.log 10.02.2006 15:18 24.576 gimmygames.exe 09.02.2006 16:28 0 winsysupd61.dat 09.02.2006 16:28 69.632 winsysban7.exe 09.02.2006 16:28 20.480 winsysupd7.exe 08.02.2006 18:15 0 winsysupd51.dat 08.02.2006 18:15 69.632 winsysban6.exe 08.02.2006 18:15 20.480 winsysupd6.exe 07.02.2006 21:43 50 wiaservc.log 07.02.2006 21:43 216 wiadebug.log 07.02.2006 21:22 637 win.ini 07.02.2006 21:13 0 gimmygames1.dat 07.02.2006 21:13 43 drsmartload2.dat 06.02.2006 14:54 25 mixerdef.ini 03.02.2006 12:51 32 wininit.ini 03.02.2006 08:23 183.296 NDNuninstall7_22.exe 22.01.2006 21:28 183.296 NDNuninstall7_14.exe 15.01.2006 19:08 73 ECMM_SAVER.INI 15.01.2006 15:32 172.136 DirectX.log 04.01.2006 19:18 94.636 dropcpyr.dll 04.01.2006 19:18 73.728 copyfstq.exe 02.01.2006 20:55 182.467 setupact.log 01.01.2006 17:07 7.927 mozver.dat 30.12.2005 15:04 100.482 UninstallThunderbird.exe 30.12.2005 14:36 317 SIERRA.INI 28.12.2005 10:14 99.970 UninstallFirefox.exe 19.11.2005 00:12 856 entpack.ini 11.11.2005 21:16 85 CMSurround.ini 11.11.2005 21:15 400 ODBC.INI 05.11.2005 12:39 4.096 d3dx.dat Verzeichnis von C:\ 13.02.2006 18:04 0 sys.txt 13.02.2006 18:03 5.786 system.txt 13.02.2006 18:02 279 systemtemp.txt 13.02.2006 18:00 97.107 system32.txt 13.02.2006 17:55 402.653.184 pagefile.sys 10.02.2006 15:21 24.576 gimmygames.exe 09.02.2006 16:53 49.104 mc-110-12-0000228.exe 28.12.2005 15:36 137 data.fcg 25.12.2005 10:07 2.885 test.spr 22.07.2005 17:55 3.733 WJNG.exe sollte ich die rot markierten Einträge fixen oder sind die von selber rot geworden(im Log) liebe Grüße und Danke MarcusH |
|
|
||
14.02.2006, 12:31
Ehrenmitglied
Beiträge: 29434 |
#9
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis
http://www.virustotal.com/flash/index_en.html C:\WJNG.exe ----------------------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM\..\Run: [SOUNDMAN Microsoft Help] soun.pif O4 - HKLM\..\Run: [hostserv] hostserv.exe O4 - HKLM\..\Run: [TeleGeiz] C:\PROGRA~1\TELEGEIZ\TELEGEIZ.EXE O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd7.exe O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban7.exe O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames.exe O4 - HKLM\..\RunServices: [SOUNDMAN Microsoft Help] soun.pif O4 - HKLM\..\RunServices: [hostserv] hostserv.exe O4 - HKLM\..\RunServicesOnce: [capscanuninstall] "C:\WINDOWS\command.com" /c del "C:\DOKUME~1\MH\LOKALE~1\Temp\uninstal.exe" O4 - HKCU\..\Run: [hostserv] hostserv.exe O4 - HKCU\..\Run: [ufkw] C:\PROGRA~1\GEMEIN~1\ufkw\ufkwm.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRfox000 O15 - Trusted Zone: http://*.billingnow.com O15 - Trusted Zone: http://*.reliablestats.com O15 - Trusted Zone: http://*.winantispyware.com O15 - Trusted Zone: http://*.winantivirus.com O15 - Trusted Zone: http://*.winantiviruspro.com O15 - Trusted Zone: http://*.winfixer.com O15 - Trusted Zone: http://*.winnanny.com O15 - Trusted Zone: http://*.winsoftware.com O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\o848lihu1848.dll O23 - Service: Local Security Authority Server (LSA Server) - Unknown owner - C:\WINDOWS\System32\lsasrv.exe (file missing) ---------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: . C:\WINDOWS\SYSTEM32\guard.tmp C:\WINDOWS\SYSTEM32\ngapi16.dll C:\WINDOWS\SYSTEM32\gpl2l33o1.dll C:\WINDOWS\SYSTEM32\dnnu0159e.dll C:\WINDOWS\SYSTEM32\j24o0ch3ef4.dll C:\WINDOWS\system32\o848lihu1848.dll C:\WINDOWS\SYSTEM32\model.dat C:\WINDOWS\command.com C:\WINDOWS\SYSTEM32\silc_dll.dll C:\WINDOWS\SYSTEM32\sporder.dll C:\WINDOWS\SYSTEM32\soun.pif C:\WINDOWS\SYSTEM32\hostserv.exe C:\DOKUME~1\MH\LOKALE~1\Temp\uninstal.exe C:\WINDOWS\winsysupd81.dat C:\WINDOWS\teller2.chk C:\WINDOWS\winsysban8.exe C:\WINDOWS\winsysupd71.dat C:\WINDOWS\winsysupd8.exe C:\WINDOWS\EPSTPLOG.TXT C:\WINDOWS\gimmygames.exe C:\WINDOWS\winsysupd61.dat C:\WINDOWS\winsysban7.exe C:\WINDOWS\winsysupd7.exe C:\WINDOWS\winsysupd51.dat C:\WINDOWS\winsysban6.exe C:\WINDOWS\winsysupd6.exe C:\WINDOWS\gimmygames1.dat C:\WINDOWS\drsmartload2.dat C:\WINDOWS\NDNuninstall7_22.exe C:\WINDOWS\NDNuninstall7_14.exe C:\gimmygames.exe C:\mc-110-12-0000228.exe PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell deinstalliere/loesche: C:\Programme\TheSearchAccelerator loeschen: C:\Programme\Gemeinsame Dateien\ufkw l2mfix --> arbeite Option 2 ab--> poste nach Neustart+ Scan den scanreport http://virus-protect.org/l2mfix.html dann sehen wir weiter __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2006, 13:12
Member
Beiträge: 11 |
#10
Hallo,
den Browser Selbständigkeitsdrang, lästige Werbung aufzupeppen hatte ich auch bis gestern. Nach guten durchlesen hier im Forum bin ich wie folgt vorgegangen: in abgesicherten MODUS Ad-Aware, TrendMicro Anti-Spyware und ClearProg ausgeführt und zu einem früheren Wiederherstellungspunkt hochfahren lassen. Es scheint, noch alles i. O. zu sein. Was mir allerdings noch ein bisschen die Freude auf erfolg trübt ist das gleiche Log file von Hijackthis und das einige Dateien nicht mehr zu finden sind. Leider funktioniert der Link zu Selbst-Auswertung des Log file´s hier in dem Forum nicht, deswegen ich auch hier um eure Hilfe bitte! Vielleicht noch der Hinweis, dass die oder der Winlogon wehrend des Male / Spyware- Befalls Fehlermeldungen aufpeppte. Danke für eure Mühe im Voraus!! Logfile of HijackThis v1.99.1 Scan saved at 6:09:19 pµ, on 14/2/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\cJPCSC.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Browser MOUSE\mouse32a.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\EPoX\Hid2Hci Tray\HciTray.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\system32\SLEE503.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Dokumente und Einstellungen\user\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Tcpview.exe G:\WINXP\Analyse-Tools\Sicherheit\HiJack\HijackThis.exe O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [Advanced Message Server] rundll32.exe usb496.dat,Execute O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [MOD] C:\Programme\Microangelo\muamgr.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1136505242249 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\guard.tmp (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\system32\cJPCSC.exe O23 - Service: GFI LANguard N.S.S. 5.0 attendant service - Unknown owner - C:\Programme\GFI\LANguard Network Security Scanner 5.0\lnssatt.exe" -service (file missing) O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: GFI LANguard N.S.S. Scheduled Scans Service (lnss_sscans) - GFI Software Ltd. - C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - C:/Programme/mysql/bin/mysqld-nt.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PestPatrol Remote - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
14.02.2006, 13:15
Ehrenmitglied
Beiträge: 29434 |
#11
Lore
Zitat O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\guard.tmp (file missing)stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2006, 14:07
Member
Beiträge: 11 |
#12
Hallo,
herzlichen Dank für die schnelle Antwort und Hilfestellung. Das ist wirklich klasse! Logfile der Bat: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C6F-CA0D Verzeichnis von C:\WINDOWS\system32 14/02/2006 02:46 ææ 17.112 nvapps.xml 14/02/2006 02:46 ææ 36.630 nvModes.001 14/02/2006 01:10 ææ 496.450 perfh009.dat 14/02/2006 01:10 ææ 555.980 perfh007.dat 14/02/2006 01:10 ææ 132.968 perfc009.dat 14/02/2006 01:10 ææ 155.940 perfc007.dat 14/02/2006 01:10 ææ 2.656 PerfStringBackup.INI 14/02/2006 02:53 pæ 235.838 axvpack.dll 14/02/2006 02:42 pæ 235.838 mytime.dll 14/02/2006 01:40 pæ 25.088 Thumbs.db 14/02/2006 01:36 pæ 2.206 wpa.dbl 14/02/2006 12:00 pæ 234.013 i4060edseh060.dll 13/02/2006 11:50 ææ 2.150 tmmute.ini 13/02/2006 08:59 ææ 236.761 mjmefilt.dll 13/02/2006 07:35 ææ 234.538 mkwebdvd.dll 13/02/2006 07:30 ææ 236.761 irr4l59q1.dll 13/02/2006 07:30 ææ 234.911 svbrccsp.dll 13/02/2006 07:17 ææ 234.538 eosadu.dll 13/02/2006 07:09 ææ 234.538 devx_xx07.dll 13/02/2006 06:07 ææ 236.438 lv2809fue.dll 27/01/2006 12:05 pæ 7.006 jupdate-1.5.0_06-b05.log 26/01/2006 11:33 ææ 43.254 oemlogo.bmp 26/01/2006 09:41 ææ 20.006 eule.jpg 26/01/2006 09:20 ææ 320 OEMINFO.INI 26/01/2006 08:23 ææ 31.020 eule_index.jpg 05/01/2006 04:41 pæ 2.836.320 MRT.exe 29/12/2005 05:17 ææ 56 66650F0E31.sys 29/12/2005 03:54 pæ 280.064 gdi32.dll 14/12/2005 09:24 pæ 118.784 sirenacm.dll 01/12/2005 04:31 pæ 1.492.480 shdocvw.dll 27/11/2005 12:37 ææ 5.618 jupdate-1.5.0_05-b05.log 24/11/2005 12:58 pæ 1.022.464 browseui.dll 24/11/2005 12:58 pæ 3.013.632 mshtml.dll 16/11/2005 04:31 ææ 36.630 nvModes.dat 11/11/2005 11:58 pæ 11.322 KGyGaAvL.sys 11/11/2005 11:24 pæ 178.648 FNTCACHE.DAT 10/11/2005 01:03 ææ 127.078 javaws.exe 10/11/2005 01:03 ææ 49.265 jpicpl32.cpl 10/11/2005 11:27 pæ 49.250 javaw.exe 10/11/2005 11:27 pæ 49.248 java.exe 05/11/2005 04:16 pæ 606.208 urlmon.dll 05/11/2005 04:16 pæ 1.056.256 danim.dll Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C6F-CA0D Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C6F-CA0D Verzeichnis von C:\WINDOWS 14/02/2006 02:45 ææ 1.554.303 WindowsUpdate.log 14/02/2006 02:45 ææ 159 wiadebug.log 14/02/2006 02:45 ææ 50 wiaservc.log 14/02/2006 02:45 ææ 0 0.log 14/02/2006 02:45 ææ 2.048 bootstat.dat 14/02/2006 02:44 ææ 32.598 SchedLgU.Txt 14/02/2006 02:56 pæ 452.392 ntbtlog.txt 14/02/2006 01:18 pæ 19.456 Thumbs.db 14/02/2006 01:17 pæ 26 Lic.xxx 13/02/2006 07:42 ææ 1.186.325 setupapi.log 13/02/2006 07:08 ææ 633 win.ini 13/02/2006 07:08 ææ 237 system.ini 13/02/2006 02:33 ææ 446 lexstat.ini 13/02/2006 12:10 ææ 0 winsysupd71.dat 13/02/2006 12:09 ææ 0 winsysupd81.dat 13/02/2006 12:09 ææ 90.112 winsysban8.exe 13/02/2006 12:09 ææ 36.864 winsysupd8.exe 11/02/2006 06:44 ææ 2.003 wincmd.ini 11/02/2006 06:12 ææ 830 wcx_ftp.ini 11/02/2006 05:02 ææ 24.576 gimmygames.exe 11/02/2006 05:02 ææ 0 myupdates1.dat 11/02/2006 05:02 ææ 43 drsmartload2.dat 11/02/2006 05:02 ææ 69.632 winsysban7.exe 11/02/2006 05:02 ææ 0 gimmygames1.dat 11/02/2006 05:01 ææ 20.480 winsysupd7.exe 09/02/2006 12:07 ææ 122.907 wmsetup.log 27/01/2006 04:11 pæ 9 tracert.lo_ 27/01/2006 04:11 pæ 1.464 tracert.log 26/01/2006 05:13 ææ 949 nsw.log 26/01/2006 04:41 ææ 3.274 ModemLog_Intracom NetMod USB ver 3.02.txt 26/01/2006 01:09 ææ 952.746 iis6.log 26/01/2006 01:09 ææ 211.738 comsetup.log 26/01/2006 01:09 ææ 138.819 ntdtcsetup.log 26/01/2006 01:09 ææ 313.298 tsoc.log 26/01/2006 01:09 ææ 28.839 tabletoc.log 26/01/2006 01:09 ææ 31.922 ocmsn.log 26/01/2006 01:09 ææ 4.696 imsins.log 26/01/2006 01:09 ææ 34.717 medctroc.Log 26/01/2006 01:09 ææ 398.428 ocgen.log 26/01/2006 01:09 ææ 33.634 msgsocm.log 26/01/2006 01:09 ææ 698.669 FaxSetup.log 26/01/2006 01:09 ææ 109.474 netfxocm.log 26/01/2006 01:09 ææ 246.054 msmqinst.log 23/01/2006 03:02 pæ 33 wininit.ini 22/01/2006 04:58 ææ 155 winamp.ini 16/01/2006 04:53 ææ 349 ulead32.ini 11/01/2006 01:06 ææ 1.374 imsins.BAK 11/01/2006 01:06 ææ 11.182 KB908519.log 07/01/2006 02:23 ææ 11.040 KB912919.log 07/01/2006 02:23 ææ 21.437 updspapi.log 05/01/2006 02:46 pæ 10.413 KB910437.log 05/01/2006 02:46 pæ 16.391 KB905915.log 28/12/2005 10:09 ææ 0 OpPrintServer.INI 28/12/2005 09:57 ææ 3.259 EPSTPLOG.BAK 28/12/2005 09:57 ææ 1.948 Windows Update.log 28/12/2005 09:50 ææ 25 CDER300Euro.ini 14/12/2005 03:20 ææ 1.647 ip.log 14/12/2005 03:20 ææ 9 ip.lo_ 09/12/2005 12:15 pæ 184.922 setupact.log 07/12/2005 02:58 pæ 1.127.882 _detmp.1 22/11/2005 01:10 pæ 8.146 fsbwinst.log 22/11/2005 01:05 pæ 10.539 Q-Klez.log 22/11/2005 01:00 pæ 1.122 Active Setup Log.txt 22/11/2005 01:00 pæ 1.122 Active Setup Log.BAK 22/11/2005 12:51 pæ 3.902 ModemLog_Conexant D480 MDC V.92 Modem.txt 11/11/2005 11:22 pæ 11.841 KB896424.log Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 7C6F-CA0D Verzeichnis von C:\ 14/02/2006 03:06 ææ 0 sys.txt 14/02/2006 03:03 ææ 12.958 system.txt 14/02/2006 03:02 ææ 352 systemtemp.txt 14/02/2006 02:58 ææ 125.413 system32.txt 14/02/2006 02:44 ææ 268.435.456 pagefile.sys 14/02/2006 01:16 pæ 2 AVPCallback.log 13/02/2006 07:08 ææ 211 boot.ini 11/02/2006 04:38 ææ 16 UsageTrack.txt 03/02/2006 10:07 ææ 207 IPH.PH 01/02/2006 07:10 ææ 363.105 treeinfo.wc 09/12/2005 02:09 ææ 192 BcBtRmv.log 03/12/2005 03:15 pæ 5.120 Thumbs.db 14/02/2006 02:56 ææ 206 jusched.log 14/02/2006 02:48 ææ 16.384 Perflib_Perfdata_e3c.dat 2 Datei(en) 16.590 Bytes 0 Verzeichnis(se), 1.112.002.560 Bytes frei liebe Grüße Lore |
|
|
||
14.02.2006, 14:48
Ehrenmitglied
Beiträge: 29434 |
#13
Lore
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: . C:\WINDOWS\system32\axvpack.dll C:\WINDOWS\system32\guard.tmp C:\WINDOWS\system32\mytime.dll C:\WINDOWS\system32\i4060edseh060.dll C:\WINDOWS\system32\tmmute.ini C:\WINDOWS\system32\mjmefilt.dll C:\WINDOWS\system32\mkwebdvd.dll C:\WINDOWS\system32\irr4l59q1.dll C:\WINDOWS\system32\svbrccsp.dll C:\WINDOWS\system32\eosadu.dll C:\WINDOWS\system32\devx_xx07.dll C:\WINDOWS\system32\lv2809fue.dll C:\WINDOWS\winsysupd71.dat C:\WINDOWS\winsysupd81.dat C:\WINDOWS\winsysban8.exe C:\WINDOWS\winsysupd8.exe C:\WINDOWS\gimmygames.exe C:\WINDOWS\myupdates1.dat C:\WINDOWS\drsmartload2.dat C:\WINDOWS\winsysban7.exe C:\WINDOWS\gimmygames1.dat C:\WINDOWS\winsysupd7.exe PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell l2mfix --> arbeite Option 2 ab--> poste nach Neustart+ Scan den scanreport http://virus-protect.org/l2mfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2006, 16:47
Member
Beiträge: 11 |
#14
Hallo Sabina,
Habe Kilbox ausgeführt und bei den Dateien: C:\WINDOWS\gimmygames.exe C:\WINDOWS\winsysban7.exe C:\WINDOWS\winsysupd7.exe Kamm immer eine akustische Warnung von Kaspersky. Nach dem Neustart waren die .exe Dateien immer noch da worauf ich versucht habe Kilbox erneut auszuführen. Beim klick auf reboot kamm folgende Fehlermeldung: PendingFileRenameOperations Registry Data has been Removed by External Process! Weiterhinm, …habe versucht rauszubekommen was Option 2 bedeutet beim Zitat?: „l2mfix --> arbeite Option 2 ab--> poste nach Neustart+ Scan den scanreport“ Nach nun mehr als 14 std. suche nach einer Lösung kann ich verstehen wie Anstrengend das hier für einen Moderator sein kann und möchte mich hier noch mal für die vorangehende und kommende(n) Mühe Bedanken. Ps: solange mein Rechner nicht „sicher“ ist traue ich mich nicht irgendwelche Bankgeschäfte wie z.B.: PayPal oder ähnliches zu tätigen! Gruß Lore Hallo Sabina, ok, das war also Option 2: Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --- [Enter]. -------------------------------------------------------------------------------------------------------------------------------- L2mfix 010406 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\WINDOWS\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 812 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1068 'winlogon.exe' Killing PID 1068 'winlogon.exe' Killing PID 1068 'winlogon.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 2572 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 2984 'rundll32.exe' Killing PID 3248 'rundll32.exe' Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SMDEn] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\guard.tmp" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}] @="" "IDEx"="ADDR" [HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}\InprocServer32] @="C:\\WINDOWS\\system32\\umrvpa.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}] @="" [HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}\InprocServer32] @="C:\\WINDOWS\\system32\\PkpX.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}] @="" [HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}\InprocServer32] @="C:\\WINDOWS\\system32\\CRPCSCKV.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}] @="" [HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}\InprocServer32] @="C:\\WINDOWS\\system32\\svbrccsp.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}] @="" [HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}\InprocServer32] @="C:\\WINDOWS\\system32\\mkwebdvd.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}] @="" [HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{B3147636-13A7-4C4D-BE62-126A7C11A4F7}"=- "{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}"=- "{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}"=- "{F0A69448-EF94-428A-891C-C30D0FB0D6CE}"=- "{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}"=- "{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}"=- [-HKEY_CLASSES_ROOT\CLSID\{B3147636-13A7-4C4D-BE62-126A7C11A4F7}] [-HKEY_CLASSES_ROOT\CLSID\{440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A}] [-HKEY_CLASSES_ROOT\CLSID\{99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1}] [-HKEY_CLASSES_ROOT\CLSID\{F0A69448-EF94-428A-891C-C30D0FB0D6CE}] [-HKEY_CLASSES_ROOT\CLSID\{9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8}] [-HKEY_CLASSES_ROOT\CLSID\{9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: zip warning: name not matched: dlls\*.* zip error: Nothing to do! (backup.zip) adding: backregs/440FA6CE-E014-4D32-8EF4-D8E4EC2F8F8A.reg (208 bytes security) (deflated 70%) adding: backregs/9533FF3E-06F7-46FA-9A4A-10EC2EF1D3F1.reg (208 bytes security) (deflated 71%) adding: backregs/99A4FC6E-7AED-4D1E-B955-7E3764F3DEB1.reg (208 bytes security) (deflated 70%) adding: backregs/9AA1E566-3204-49C6-B2B9-A6C4EEDE77A8.reg (208 bytes security) (deflated 70%) adding: backregs/B3147636-13A7-4C4D-BE62-126A7C11A4F7.reg (208 bytes security) (deflated 69%) adding: backregs/F0A69448-EF94-428A-891C-C30D0FB0D6CE.reg (208 bytes security) (deflated 70%) adding: backregs/notibac.reg (208 bytes security) (deflated 73%) adding: backregs/shell.reg (208 bytes security) (deflated 72%) Gruß Lore Dieser Beitrag wurde am 14.02.2006 um 19:47 Uhr von Lore editiert.
|
|
|
||
14.02.2006, 20:47
...neu hier
Beiträge: 3 |
#15
L2mfix 010406
Creating Account. Das Konto existiert bereits. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2224 eingeben. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\WINDOWS\system32 Killing Processes! Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! Running From: C:\WINDOWS\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 548 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 636 'winlogon.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 128 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 952 'rundll32.exe' Killing PID 1504 'rundll32.exe' Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. Deleting: C:\WINDOWS\system32\cqrsrv.dll Successfully Deleted: C:\WINDOWS\system32\cqrsrv.dll Deleting: C:\WINDOWS\system32\jrl0253mg.dll Successfully Deleted: C:\WINDOWS\system32\jrl0253mg.dll Deleting: C:\WINDOWS\system32\m8po0i73e8.dll Successfully Deleted: C:\WINDOWS\system32\m8po0i73e8.dll Deleting: C:\WINDOWS\system32\guard.tmp Successfully Deleted: C:\WINDOWS\system32\guard.tmp msg11?.dll 0 Datei(en) kopiert. Desktop.ini sucessfully removed Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\m8po0i73e8.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** C:\WINDOWS\system32\cqrsrv.dll C:\WINDOWS\system32\jrl0253mg.dll C:\WINDOWS\system32\m8po0i73e8.dll C:\WINDOWS\system32\guard.tmp Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}] @="" [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\InprocServer32] @="C:\\WINDOWS\\system32\\cqrsrv.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}] @="" [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}\InprocServer32] @="C:\\WINDOWS\\system32\\cqrsrv.dll" "ThreadingModel"="Apartment" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{B4AD2AA8-BC3F-459A-94BB-309553B3491E}"=- [-HKEY_CLASSES_ROOT\CLSID\{B4AD2AA8-BC3F-459A-94BB-309553B3491E}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] **************************************************************************** Desktop.ini Contents: **************************************************************************** [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: adding: dlls/cqrsrv.dll (deflated 5%) adding: dlls/jrl0253mg.dll (deflated 5%) adding: dlls/m8po0i73e8.dll (deflated 5%) adding: dlls/guard.tmp (deflated 5%) adding: backregs/notibac.reg (deflated 87%) adding: backregs/shell.reg (deflated 73%) adding: backregs/B4AD2AA8-BC3F-459A-94BB-309553B3491E.reg (deflated 70%) soll ich alle dateien im ordner !killbox löschen oda nur bestimmte??? Danke noch einmal für die hilfe bis hier und weiter!! mfg MarcusH __________________________________________________________________ EDIT: Hallo Ich hab grade eben den Computer länger an gehabt und bemerkt: es ist weg, es öffnen sich keine lästigen fenster mehr! Also danke Sabina wenn ich noch mal fragen zum Computer habe werde ich auf jedenfall wieder hier fragen. Gruß MarcusH Dieser Beitrag wurde am 15.02.2006 um 16:05 Uhr von MarcusH editiert.
|
|
|
||
Seit ein paar Tagen öffnet sich mein Firefox oder mein IE6 von ganz allein und nervt mich mit lästiger Werbung. Ich habe daraufhin versucht, alle Cookies zu löschen, aber das war garnicht so einfach, weil sie nach dem löschen immer wieder kamen. Dann habe ich den IE6 gelöscht. anschließend kamen die gleichen Werbeseiten auf dem Firefox. Dort habe ich ebenfalls die Cookies gelöscht. Dann habe ich versucht, mit Spybot Search & Destroy Verursacher zu finden. Das Programm hat 5 schlechte Dateien gefunnden und unschädlich gemacht. Das eigentliche Problem ist nicht behoben, dafür kann ich jetzt z.B ebay nicht mehr benutzen, weil meine Browser angeblich keine Cookies akzeptieren, obwohl die Einstellungen stimmen.
Hilfe bitte!!!!!!!!!!!!!!!!!!!!!!
Hier mein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:43:44, on 20.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\little_helper2\little_helper2.exe
C:\Programme\ScanPanel\ScnPanel.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\lotus\organize\easyclip6.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.plus.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\Programme\ScanPanel\ScnPanel.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - c:\programme\lotus\organize\bandobjs.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.plus.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094228586484
O17 - HKLM\System\CCS\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{09F7E521-F236-4DAD-B2CE-E04B4A876533}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{16933D3E-8F5A-4121-BE59-CA9AB02685D8}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0C9B824-86C4-4074-A003-ADB445A20874}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{DECCFA85-456D-402E-8B6E-557D22221518}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CS1\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O17 - HKLM\System\CS2\Services\Tcpip\..\{07D97A61-6628-4BF3-AB5B-1E7FAB36590B}: NameServer = 85.237.87.165,217.20.114.119
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe