Your computer is infected - und noch ein Thread |
||
---|---|---|
#0
| ||
20.11.2005, 22:57
...neu hier
Beiträge: 3 |
||
|
||
20.11.2005, 23:05
Ehrenmitglied
Beiträge: 29434 |
#2
gehe in die registry
Start-->Ausfuehren--> regedit HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "Wallpaper" = "C:\WINDOWS\desktop.html"<--loeschen KILLBOX http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\paytime.exe C:\WINDOWS\hosts C:\WINDOWS\desktop.html C:\WINDOWS\secure32.html C:\WINDOWS\degbes.exe C:\WINDOWS\de.exe C:\WINDOWS\tool2.exe C:\WINDOWS\kl.exe C:\WINDOWS\ÿúF C:\WINDOWS\uniq C:\secure32.html C:\winstall.exe PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread Panda (poste den scanreport http://virus-protect.org/onlinescan.html dann mache dir die Muehe und kopiere das Log vom HijackThis bitte komplett, so muss ich nicht meine Glaskugel zu Rate ziehen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.11.2005, 00:22
...neu hier
Themenstarter Beiträge: 3 |
#3
Hi Sabina,
hui das war ja eine super schnelle Antwort. Ja das mit dem nur halben Post habe ich auch gemerkt. Sorry. Vor lauter Virus ..... Ich danke Dir dennoch für Deine Mühe, ich habe es inzwischen herausgefunden und konnte es komplett (denke ich mal) löschen.. Habe es über den Link auf dem Forum (zur Automatischen Auswertung des Logfiles) geschafft und dadurch einiges erfahren was da schief lief... Anbei nochmal der komplette Ausdruck. Ist da noch etwas komisches drin? Logfile of HijackThis v1.99.1 Scan saved at 00:20:38, on 21.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe F:\Norton AntiVirus\navapsvc.exe F:\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SCARDS32.EXE F:\RealVNC\VNC4\WinVNC4.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe F:\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe F:\Spybot - Search & Destroy\TeaTimer.exe F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe F:\Download\Programme\Viren\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.1;127.0.0.1;localhost;<local> R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\GetRight\xx2gr.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - f:\WS_FTP Pro\wsbho2K0.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [WinampAgent] "F:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: phase6_17_erinnerung.lnk = F:\lernen\phase6\phase6_17\WinStart\WinStart.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit GetRight laden - F:\GetRight\GRdownload.htm O8 - Extra context menu item: Mit GetRight-Browser öffnen - F:\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125001339328 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - F:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - F:\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - F:\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - F:\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - F:\RealVNC\VNC4\WinVNC4.exe" -service (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Und die Dat Dateien 1. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS\system32 21.11.2005 00:14 13.668 wpa.dbl 09.11.2005 19:54 301.232 FNTCACHE.DAT 02.11.2005 06:34 2.377.568 MRT.exe 30.10.2005 11:56 379.880 perfh009.dat 30.10.2005 11:56 53.024 perfc009.dat 30.10.2005 11:56 391.394 perfh007.dat 30.10.2005 11:56 64.072 perfc007.dat 30.10.2005 11:56 898.084 PerfStringBackup.INI 20.10.2005 23:13 89.128 GDIPFONTCACHEV1.DAT 06.10.2005 13:23 241.312 WCMainTabCtrl.dll 06.10.2005 13:23 1.916.576 WebVideo.dll 06.10.2005 13:22 339.616 PalTextCtl.dll 06.10.2005 13:19 220.832 palsound.dll 06.10.2005 13:18 495.264 GroupMsgCtl.dll 06.10.2005 13:16 188.064 ftpclient.dll 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 16:26 3.013.120 mshtml.dll 04.10.2005 10:36 98.304 CmdLineExt.dll 23.09.2005 04:06 8.491.520 shell32.dll 15.09.2005 17:55 458.752 mgxoschk.dll 10.09.2005 02:54 2.067.968 cdosys.dll 03.09.2005 00:53 664.064 wininet.dll 03.09.2005 00:53 205.312 dxtrans.dll 03.09.2005 00:53 605.696 urlmon.dll 03.09.2005 00:53 39.424 pngfilt.dll 03.09.2005 00:53 146.432 msrating.dll 03.09.2005 00:53 1.484.288 shdocvw.dll 03.09.2005 00:53 251.392 iepeers.dll 03.09.2005 00:53 474.112 shlwapi.dll 03.09.2005 00:53 96.768 inseng.dll 03.09.2005 00:53 448.512 mshtmled.dll 03.09.2005 00:53 530.432 mstime.dll 03.09.2005 00:53 55.808 extmgr.dll 03.09.2005 00:53 1.055.744 danim.dll 03.09.2005 00:53 152.064 cdfview.dll 03.09.2005 00:53 1.019.904 browseui.dll 01.09.2005 21:45 3.670 Sys2659c.DLL 01.09.2005 02:44 292.352 winsrv.dll 01.09.2005 02:44 19.968 linkinfo.dll 30.08.2005 04:55 1.292.800 quartz.dll 23.08.2005 04:39 124.416 umpnpmgr.dll 22.08.2005 19:31 197.632 netman.dll 13.08.2005 13:30 13.668 wpa.bak 13.08.2005 13:27 43.927 $winnt$.inf 13.08.2005 13:24 16.832 amcompat.tlb 13.08.2005 13:24 23.392 nscompat.tlb 13.08.2005 13:23 488 logonui.exe.manifest 13.08.2005 13:23 488 WindowsLogon.manifest 13.08.2005 13:23 749 cdplayer.exe.manifest 13.08.2005 13:23 749 ncpa.cpl.manifest 13.08.2005 13:23 749 sapi.cpl.manifest 13.08.2005 13:23 749 nwc.cpl.manifest 13.08.2005 13:23 749 wuaucpl.cpl.manifest 13.08.2005 13:22 23.604 emptyregdb.dat 13.08.2005 13:21 525 mapisvc.inf 13.08.2005 12:58 1.154 oeminfo.ini 11.08.2005 16:11 65.024 nwwks.dll 03.08.2005 09:33 520.456 LegitCheckControl.DLL 2. (ich weiss das muss eigentlich leer sein) Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\DOKUME~1\Franco\LOKALE~1\Temp 21.11.2005 00:14 816 jusched.log 1 Datei(en) 816 Bytes 0 Verzeichnis(se), 65.767.641.088 Bytes frei 3. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS 21.11.2005 00:15 1.383 setupapi.log 21.11.2005 00:14 0 0.log 21.11.2005 00:14 6.102 ModemLog_Bluetooth DUN Modem.txt 21.11.2005 00:14 6.114 ModemLog_Bluetooth Fax Modem.txt 21.11.2005 00:14 3.844 ModemLog_Agere Systems PCI Soft Modem.txt 21.11.2005 00:14 23.094 WindowsUpdate.log 21.11.2005 00:14 89 SCARDSRV.INI 21.11.2005 00:14 0 SCARDSRV.TMP 21.11.2005 00:14 45.360 SCARDLOG.TDG 21.11.2005 00:14 2.048 bootstat.dat 21.11.2005 00:12 884 SchedLgU.Txt 20.11.2005 23:25 880 win.ini 20.11.2005 23:25 388 system.ini 20.11.2005 18:34 2.033 hosts 20.11.2005 18:34 1.999 desktop.html 20.11.2005 18:34 3.052 secure32.html 20.11.2005 18:34 1.024 degbes.exe 20.11.2005 18:34 1.024 de.exe 20.11.2005 18:34 66.064 kl.exe 20.11.2005 18:34 0 uniq 20.11.2005 00:15 202 NeroDigital.ini 19.11.2005 16:28 132 winamp.ini 19.11.2005 16:14 144.839 MILTIME.VAL 01.11.2005 17:52 0 tdf.dii 01.11.2005 17:52 3.081 tm.ini 28.10.2005 18:59 1.515 VISITEN.INI 25.10.2005 18:41 250.009 MILTIME.VAM 19.10.2005 19:39 31 LxTrans.INI 19.10.2005 19:13 4.359 ODBCINST.INI 07.10.2005 17:23 524 eReg.dat 27.09.2005 20:37 0 homeDVD-Filme5.INI 13.09.2005 18:09 2.608 mozver.dat 01.09.2005 21:35 25 ÿúF 14.08.2005 11:04 400 ODBC.INI 13.08.2005 13:24 316.640 WMSysPr9.prx 13.08.2005 13:23 749 WindowsShell.Manifest 13.08.2005 12:47 1.395 UPGRADE.TXT 13.08.2005 12:16 148.035 setupapi.old 4. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\ 21.11.2005 00:24 0 sys.txt 21.11.2005 00:24 7.216 system.txt 21.11.2005 00:23 284 systemtemp.txt 21.11.2005 00:23 115.931 system32.txt 21.11.2005 00:13 1.073.270.784 hiberfil.sys 21.11.2005 00:13 1.610.612.736 pagefile.sys 20.11.2005 23:25 211 boot.ini 20.11.2005 18:34 3.052 secure32.html 23.10.2005 13:30 0 palsound.txt 19.10.2005 19:35 614 Connection.Log 14.06.2005 19:05 12 CONFIG.SYS 30.05.2005 21:18 474 debugInstaller.txt 30.05.2005 21:04 2.750 LGSInst.Log 12.02.2005 19:54 50 AUTOEXEC.BAT 06.02.2005 14:35 771 IPH.PH 26.01.2005 21:11 0 IO.SYS 26.01.2005 21:11 0 MSDOS.SYS 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 04.08.2004 13:00 251.184 ntldr 20 Datei(en) 2.684.318.585 Bytes 0 Verzeichnis(se), 65.767.641.088 Bytes frei Ich hoffe ich habe alles erwischt ? Gruss vom Schwob |
|
|
||
21.11.2005, 11:39
Ehrenmitglied
Beiträge: 29434 |
#4
der PC ist weiterhin verseucht.....
Zitat C:\WINDOWSmit der killbox loeschen, dann PC neustarten C:\WINDOWS\hosts C:\WINDOWS\desktop.html C:\WINDOWS\secure32.html C:\WINDOWS\degbes.exe C:\WINDOWS\de.exe C:\WINDOWS\kl.exe C:\secure32.html dann bitte alles ausfuehren...auch die Logs von den Scans posten....... Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread Panda (poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.11.2005, 19:32
...neu hier
Themenstarter Beiträge: 3 |
#5
Brauchst du auch nochmal die Daten von Hijack und datfind.bat?
Pocket Killbox version 2.0.0.473 Running on Windows XP As an Administrator was started @ Sonntag, November 20, 2005, 9:17 PM Killbox Closed(Exit) @ 9:17:05 PM __________________________________________________ Pocket Killbox version 2.0.0.473 Running on Windows XP As an Administrator was started @ Sonntag, November 20, 2005, 9:55 PM # 1 [Delete on Reboot] Path = c:\WINDOWS\system32\appwiz.dll # 2 [Delete on Reboot] Path = c:\WINDOWS\system32\appwiz.dll Killbox Closed(Exit) @ 9:58:53 PM __________________________________________________ Pocket Killbox version 2.0.0.473 Running on Windows XP As an Administrator was started @ Sonntag, November 20, 2005, 11:21 PM # 1 [Files to Delete] Path = c:\WINDOWS\system32\paytime.exe *This file does not seem to exist # 2 [Files to Delete] Path = c:\WINDOWS\tool2.exe *This file does not seem to exist Killbox Closed(Exit) @ 11:22:28 PM __________________________________________________ Pocket Killbox version 2.0.0.473 Running on Windows XP As an Administrator was started @ Montag, November 21, 2005, 12:09 AM Killbox Closed(Exit) @ 12:12:41 AM __________________________________________________ Pocket Killbox version 2.0.0.473 Running on Windows XP As an Administrator was started @ Montag, November 21, 2005, 6:59 PM # 1 [Files to Delete] Path = c:\WINDOWS\hosts *File Was Deleted # 2 [Files to Delete] Path = c:\WINDOWS\desktop.html *File Was Deleted # 3 [Delete on Reboot] Path = c:\WINDOWS\hosts *File Was Deleted # 4 [Delete on Reboot] Path = c:\WINDOWS\hosts *File Was Deleted # 5 [Delete on Reboot] Path = c:\WINDOWS\secure32.html *File Was Deleted # 6 [Delete on Reboot] Path = c:\WINDOWS\secure32.html *File Was Deleted # 7 [Files to Delete] Path = c:\WINDOWS\secure32.html *File Was Deleted # 8 [Files to Delete] Path = c:\WINDOWS\degbesd.exe *This file does not seem to exist # 9 [Files to Delete] Path = c:\WINDOWS\degbes.exe *File Was Deleted # 10 [Files to Delete] Path = c:\WINDOWS\de.exe *File Was Deleted # 11 [Files to Delete] Path = c:\WINDOWS\kl.exe *File Was Deleted # 12 [Files to Delete] Path = c:\secure32.html *File Was Deleted Killbox Closed(Exit) @ 7:03:19 PM __________________________________________________ smitRem © log file version 2.7 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! Post von Panda: Incident Status Location Adware:adware/cws.searchmeup Not desinfected Windows Registry Adware:Adware/SpySheriff Not desinfected C:\!KillBox\desktop.html Adware:Adware/Secure32 Not desinfected C:\!KillBox\secure32.html Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\Franco\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\counter.jpg-5c868ee8-2c18a0c5.zip[Gummy.class] Adware:Adware/EShopper Not desinfected C:\Programme\EA SPORTS\FUSSBALL MANAGER 06\database\Uninstal.exe |
|
|
||
22.11.2005, 00:35
Ehrenmitglied
Beiträge: 29434 |
#6
leere manuell: C:\!KillBox
wende CleanUp an (um das Java-Cache zu leeren) http://virus-protect.org/cleanup.html das wird als Adware betrachtet...du musst selbst wissen, ob du es noch auf dem System haben willst C:\Programme\EA SPORTS\FUSSBALL MANAGER 06\database\Uninstal.exe poste noch mal die 4 Textdateien ----------------------------------------- nimm das aus dem Autostart, denn es verfaelscht die Ergebnisse der anderen Scanner: O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe http://virus-protect.org/ewido.html scanne mit ewido und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich bin hier kurz davor meinen Rechner platt zu machen. Versuche nun schon seit 3 Stunden diesen dummer Virus von der Platte zu bekommen, aber ausser das dass Bild auf dem Desktop weg ist, habe ich nicht mehr hinbekommen. Die drei Kreuze und das nervigen Aufgeploppe der Meldung habe ich nicht wegbekommen. Ich hoffe mir kann jemand helfen bevor ich meinen Rechner zum Fenster rauswerfe... Heul
Anbei meinen Hijack und Datfindbat Ausdrucke:
Logfile of HijackThis v1.99.1
Scan saved at 22:50:08, on 20.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Norton AntiVirus\navapsvc.exe
F:\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
F:\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
F:\Winamp\Winampa.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
Datfindbat:
1
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3
Verzeichnis von C:\WINDOWS\system32
20.11.2005 21:49 13.668 wpa.dbl
20.11.2005 18:34 4.057 paytime.exe
09.11.2005 19:54 301.232 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 11:56 379.880 perfh009.dat
30.10.2005 11:56 53.024 perfc009.dat
30.10.2005 11:56 391.394 perfh007.dat
30.10.2005 11:56 64.072 perfc007.dat
30.10.2005 11:56 898.084 PerfStringBackup.INI
20.10.2005 23:13 89.128 GDIPFONTCACHEV1.DAT
06.10.2005 13:24 2.027.168 WebClient.dll
06.10.2005 13:23 241.312 WCMainTabCtrl.dll
06.10.2005 13:23 1.916.576 WebVideo.dll
06.10.2005 13:22 339.616 PalTextCtl.dll
06.10.2005 13:19 220.832 palsound.dll
06.10.2005 13:18 495.264 GroupMsgCtl.dll
06.10.2005 13:16 188.064 ftpclient.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
04.10.2005 10:36 98.304 CmdLineExt.dll
23.09.2005 04:06 8.491.520 shell32.dll
15.09.2005 17:55 458.752 mgxoschk.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
03.09.2005 00:53 152.064 cdfview.dll
01.09.2005 21:45 3.670 Sys2659c.DLL
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
13.08.2005 13:30 13.668 wpa.bak
13.08.2005 13:27 43.927 $winnt$.inf
13.08.2005 13:24 16.832 amcompat.tlb
13.08.2005 13:24 23.392 nscompat.tlb
13.08.2005 13:23 488 WindowsLogon.manifest
13.08.2005 13:23 488 logonui.exe.manifest
13.08.2005 13:23 749 cdplayer.exe.manifest
13.08.2005 13:23 749 ncpa.cpl.manifest
13.08.2005 13:23 749 wuaucpl.cpl.manifest
13.08.2005 13:23 749 nwc.cpl.manifest
13.08.2005 13:23 749 sapi.cpl.manifest
13.08.2005 13:22 23.604 emptyregdb.dat
13.08.2005 13:21 525 mapisvc.inf
13.08.2005 12:58 1.154 oeminfo.ini
11.08.2005 16:11 65.024 nwwks.dll
03.08.2005 09:33 520.456 LegitCheckControl.DLL
2.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3
Verzeichnis von C:\DOKUME~1\Franco\LOKALE~1\Temp
3.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3
Verzeichnis von C:\WINDOWS
20.11.2005 21:50 6.102 ModemLog_Bluetooth DUN Modem.txt
20.11.2005 21:50 6.114 ModemLog_Bluetooth Fax Modem.txt
20.11.2005 21:50 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
20.11.2005 21:50 2.018.221 WindowsUpdate.log
20.11.2005 21:50 89 SCARDSRV.INI
20.11.2005 21:50 0 SCARDSRV.TMP
20.11.2005 21:50 44.856 SCARDLOG.TDG
20.11.2005 21:49 2.048 bootstat.dat
20.11.2005 21:48 32.520 SchedLgU.Txt
20.11.2005 21:06 880 win.ini
20.11.2005 21:06 388 system.ini
20.11.2005 18:34 2.033 hosts
20.11.2005 18:34 1.999 desktop.html
20.11.2005 18:34 3.052 secure32.html
20.11.2005 18:34 1.024 degbes.exe
20.11.2005 18:34 1.024 de.exe
20.11.2005 18:34 28.672 tool2.exe
20.11.2005 18:34 66.064 kl.exe
20.11.2005 18:34 0 uniq
20.11.2005 00:15 202 NeroDigital.ini
19.11.2005 16:28 132 winamp.ini
19.11.2005 16:14 144.839 MILTIME.VAL
01.11.2005 17:52 0 tdf.dii
01.11.2005 17:52 3.081 tm.ini
28.10.2005 18:59 1.515 VISITEN.INI
25.10.2005 18:41 250.009 MILTIME.VAM
19.10.2005 19:39 31 LxTrans.INI
19.10.2005 19:13 4.359 ODBCINST.INI
07.10.2005 17:23 524 eReg.dat
27.09.2005 20:37 0 homeDVD-Filme5.INI
13.09.2005 18:09 2.608 mozver.dat
01.09.2005 21:35 25 ÿúF
14.08.2005 11:04 400 ODBC.INI
13.08.2005 13:24 316.640 WMSysPr9.prx
13.08.2005 13:23 749 WindowsShell.Manifest
13.08.2005 12:47 1.395 UPGRADE.TXT
13.08.2005 12:16 148.035 setupapi.old
4.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3
Verzeichnis von C:\
20.11.2005 22:58 0 sys.txt
20.11.2005 22:58 7.170 system.txt
20.11.2005 22:58 125 systemtemp.txt
20.11.2005 22:58 116.031 system32.txt
20.11.2005 21:49 1.073.270.784 hiberfil.sys
20.11.2005 21:49 1.610.612.736 pagefile.sys
20.11.2005 21:06 211 boot.ini
20.11.2005 18:34 3.052 secure32.html
20.11.2005 18:34 28.672 winstall.exe
23.10.2005 13:30 0 palsound.txt
19.10.2005 19:35 614 Connection.Log
14.06.2005 19:05 12 CONFIG.SYS
30.05.2005 21:18 474 debugInstaller.txt
30.05.2005 21:04 2.750 LGSInst.Log
12.02.2005 19:54 50 AUTOEXEC.BAT
06.02.2005 14:35 771 IPH.PH
26.01.2005 21:11 0 IO.SYS
26.01.2005 21:11 0 MSDOS.SYS
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
21 Datei(en) 2.684.347.152 Bytes
0 Verzeichnis(se), 65.767.534.592 Bytes frei
Ich hoffe es kann mir jemand helfen.
Mit hoffnungsvollen Grüssen aus dem Schwabenland
Der Schwob