"Your computer is infected!" Windows has detected spyware infection!

Thema ist geschlossen!
Thema ist geschlossen!
#0
29.01.2006, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 loesche:
C:\WINDOWS\tool2.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\DontCha.zip
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\More MP3.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Read first.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Sugababes

wir riskieren es mal...fixe das (damit wird die Internetverbindung, die anscheinend korumpiert ist...geloescht.
dann musst du eine neue erstellen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h
O17 - HKLM\Software\..\Telephony: DomainName = h
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = h

pc neustarten

manuell mit den Zugangsdaten des Providers hergestellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. --> anhaken

poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2006, 16:32
...neu hier

Beiträge: 6
#17 Hi Sabina hab alles gemacht:


Logfile of HijackThis v1.99.1
Scan saved at 16:39:16, on 30.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Canon\CAL\CALMAIN.exe
D:\programme\valve\steam\steam.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Neuer Ordner (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h
O17 - HKLM\Software\..\Telephony: DomainName = h
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = h
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank

Mfg Daniel
Seitenanfang Seitenende
01.02.2006, 11:35
Member

Beiträge: 60
#18 Hallo,

hab seit gestern ähnliches Problem, hatte es im dez schon so wie bei euch und heute ist es irgend so ein anderes Teil, aber auch mit dem besagten roten kreis, etc...

Hier mal mein lg von hijackthis, Für jilfe bin ich sehr dankbar...

Logfile of HijackThis v1.99.1
Scan saved at 11:35:03, on 01.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE
O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE

C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\MSN Messenger\msnmsgr.exe
P:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
p:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
P:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
O:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
P:\virenprogs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://vfmmosbach.homeip.net/
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp96CB.tmp
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [\\toljaj\EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P32 "\\toljaj\EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &NeoTrace It! - P:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe
O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe
O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll
O9 - Extra 'Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - P:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121763403038
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local
O17 - HKLM\Software\..\Telephony: DomainName = office.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE

O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\WinVNC4.exe" -service (file missing)
Seitenanfang Seitenende
01.02.2006, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 dr.ago

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

regfreeze - CashDeluxe
http://virus-protect.org/artikel/spyware/regfreeze.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 18:38
Member

Beiträge: 60
#20 @Sabina

Habe zwischenzeitlich folgendes rat von dir ausprobiert:
"!! Anleitung: SpyAxe + SpywareStrike loeschen (Anleitung) 3 15885 Sabina 18.12.2005, 21:24
von Sabina"

Hat soweit alles geklappt. Schick dir dennoch die logs von datafind.bat und die aktuelle hijackthis, zum auswerten ob alles soweit geklappt hat.
Danke im voraus


Datentr„ger in Laufwerk P: ist Private
Volumeseriennummer: BD6A-51D1

Verzeichnis von P:\

23.06.2005 00:18 1.298.436 s1a.mpg
23.06.2005 00:18 1.359.876 s2a.mpg
23.06.2005 00:18 1.345.540 s3a.mpg
23.06.2005 00:18 1.345.540 s4a.mpg
4 Datei(en) 5.349.392 Bytes
0 Verzeichnis(se), 4.205.613.056 Bytes frei

Datentr„ger in Laufwerk P: ist Private
Volumeseriennummer: BD6A-51D1

Verzeichnis von P:\

23.06.2005 00:18 1.298.436 s1a.mpg
23.06.2005 00:18 1.359.876 s2a.mpg
23.06.2005 00:18 1.345.540 s3a.mpg
23.06.2005 00:18 1.345.540 s4a.mpg
4 Datei(en) 5.349.392 Bytes
0 Verzeichnis(se), 4.205.613.056 Bytes frei

Datentr„ger in Laufwerk P: ist Private
Volumeseriennummer: BD6A-51D1

Verzeichnis von P:\

23.06.2005 00:18 1.298.436 s1a.mpg
23.06.2005 00:18 1.359.876 s2a.mpg
23.06.2005 00:18 1.345.540 s3a.mpg
23.06.2005 00:18 1.345.540 s4a.mpg
4 Datei(en) 5.349.392 Bytes
0 Verzeichnis(se), 4.205.613.056 Bytes frei


Datentr„ger in Laufwerk P: ist Private
Volumeseriennummer: BD6A-51D1

Verzeichnis von P:\

23.06.2005 00:18 1.298.436 s1a.mpg
23.06.2005 00:18 1.359.876 s2a.mpg
23.06.2005 00:18 1.345.540 s3a.mpg
23.06.2005 00:18 1.345.540 s4a.mpg
4 Datei(en) 5.349.392 Bytes
0 Verzeichnis(se), 4.205.613.056 Bytes frei



Logfile of HijackThis v1.99.1
Scan saved at 18:39:39, on 01.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\RealVNC\WinVNC4.exe
O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE
O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\MSN Messenger\msnmsgr.exe
P:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
p:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
P:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
P:\virenprogs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://vfmmosbach.homeip.net/
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp96CB.tmp (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [\\toljaj\EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P32 "\\toljaj\EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &NeoTrace It! - P:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe
O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - P:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121763403038
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local
O17 - HKLM\Software\..\Telephony: DomainName = office.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\WinVNC4.exe" -service (file missing)

Vielen Dank für eine kurze rückmeldung!
Seitenanfang Seitenende
01.02.2006, 18:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 schade...ich wollte alles sehen.... und etwas ist schief gegangen..wie man am HijackThis-Log sehen kann

und die 4 Textdateien...du hast 4 Mal das gleiche abkopiert...berichtige es bitte

...der PC ist weiterhin verseucht....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 18:54
Member

Beiträge: 60
#22 @sagina

die datafind.bat bringt mir immer wieder das selbe log, und seh auch gerade im hijackthis-log dass der SpywareStrike noch da ist.

Was heißt wolltest alles sehen????? das ist net mehr .

anbei nochmal hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 18:56:01, on 01.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\RealVNC\WinVNC4.exe
O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE
O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE

C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\MSN Messenger\msnmsgr.exe
P:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
p:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
P:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
P:\virenprogs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://vfmmosbach.homeip.net/
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp96CB.tmp (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [\\toljaj\EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P32 "\\toljaj\EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &NeoTrace It! - P:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe
O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - P:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121763403038
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local
O17 - HKLM\Software\..\Telephony: DomainName = office.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE
O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE

O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\WinVNC4.exe" -service (file missing)
Seitenanfang Seitenende
01.02.2006, 18:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen

einzeln in das schwarze DOS-Fenster reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 30 Tage raus.
Dann schliesse DOS und führe die gleiche Anweisungen aus für:


cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 19:16
Member

Beiträge: 60
#24 Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: B870-CB17

Verzeichnis von C:\WINDOWS\system32

01.02.2006 18:13 4.841 lckfldservicelog.txt
01.02.2006 13:06 48.552 perfc007.dat
01.02.2006 13:06 311.938 perfh009.dat
01.02.2006 13:06 317.168 perfh007.dat
01.02.2006 13:06 40.326 perfc009.dat
01.02.2006 13:06 723.744 PerfStringBackup.INI
31.01.2006 22:15 13.646 wpa.dbl
09.01.2006 19:13 32 mslck.dat
21.12.2005 01:55 2.550 Uninstall.ico
21.12.2005 01:55 1.406 Help.ico
21.12.2005 01:55 1.718 Open.ico
21.12.2005 01:55 5.350 IE.ico
21.12.2005 01:55 9.470 Desktop.ico
21.12.2005 01:55 1.718 Quick.ico

Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: B870-CB17

Verzeichnis von C:\temp

---(da ist alles leer)----



Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: B870-CB17

Verzeichnis von C:\WINDOWS

01.02.2006 18:14 0 0.log
01.02.2006 18:13 2.048 bootstat.dat
01.02.2006 18:12 336.999 WindowsUpdate.log
01.02.2006 16:19 137.577 setupapi.log
01.02.2006 12:54 633.460 ntbtlog.txt
01.02.2006 12:34 240 setupact.log
01.02.2006 11:10 839 Tobit.ini
01.02.2006 01:16 192 winamp.ini
01.02.2006 01:02 998 win.ini
01.02.2006 01:02 227 system.ini
28.01.2006 15:18 216 wiadebug.log
27.01.2006 20:44 50 wiaservc.log
27.01.2006 15:19 306 gttb64.ini
27.01.2006 15:07 22 Mubri2002
25.01.2006 15:40 116 NeroDigital.ini
25.01.2006 15:15 71 KTEL.INI
21.01.2006 23:03 17.095 wmsetup.log
15.01.2006 23:25 13.212 ModemLog_Smart Link 56K Modem.txt
13.01.2006 18:09 9.736 VFRAME32.INI
13.01.2006 17:52 36 VFORTSCH.INI
13.01.2006 17:52 600 VPMS.INI
13.01.2006 15:11 316.640 WMSysPr9.prx
27.12.2005 16:03 345 OEWABLog.txt
16.12.2005 17:30 14.120 DirectX.log
16.12.2005 17:29 276 game.ini
15.12.2005 11:04 2.838 KB905915.log


Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: B870-CB17

Verzeichnis von C:\

01.02.2006 19:17 0 sys.txt
01.02.2006 19:15 8.691 system.txt
01.02.2006 19:12 97 systemtemp.txt
01.02.2006 19:08 109.672 system32.txt
01.02.2006 18:13 805.306.368 pagefile.sys
01.02.2006 01:02 211 boot.ini
27.01.2006 15:19 13.030 PDOXUSRS.NET
03.11.2005 03:08 5.238 data


so das ist es mal...
Seitenanfang Seitenende
01.02.2006, 21:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 da kannst du mir auch gleich erklaeren, wozu dieses Tool gut ist....Tobit
http://www.2-ad.de/store/

Zitat


Virus:Trj/Mitglieder.FO
O:\Programme\Tobit InfoCenter\D\Archive\USER\10004000\in\IB85C813.$01[5.exe]
Virus:Bck/Sub7.20.bO:\Programme\Tobit InfoCenter\D\Archive\USER\10004000\out\I57F16BE.$01[server.exe]
loeschen:
C:\WINDOWS\system32\mslck.dat

Spysweeper--> lade die trial-Version--> scanne und kopiere den scanreport
http://virus-protect.org/spysweeper.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 21:52
Member

Beiträge: 60
#26 @sabina

Spysweeper--> lade die trial-Version--> scanne und kopiere den scanreport
http://virus-protect.org/spysweeper.html dieses programm läuft bei mir leider nicht mehr, da ich wie erwähnt im dezember ähnliches problem hatte und damal ebenfalls der rat war dieses prog zu nutzen.

was soll ich nun tun???

vielen dank schon mal
Seitenanfang Seitenende
01.02.2006, 22:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 nun im Grunde muesste alles sauber sein (danke fuer die info ueber tobit) ;)

scanne mit Kaspersky und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.02.2006, 15:07
Member

Beiträge: 60
#28 @sabina

ich helfe gerne ;-)

der report von kaspersky

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, February 02, 2006 15:08:08
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 2/02/2006
Kaspersky Anti-Virus database records: 163759
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\
O:\
P:\

Scan Statistics:
Total number of scanned objects: 129289
Number of viruses found: 2
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 5695 sec

Infected Object Name - Virus Name
C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.fw
C:\!KillBox\nvctrl.exe Infected: Trojan-Downloader.Win32.Zlob.fu

Scan process completed.
Seitenanfang Seitenende
02.02.2006, 15:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 C:\!KillBox\ <-- loesche manuell, alles, was in der Killbox-Datei ist.

Dann ...ist wieder alles in Ordnung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.02.2006, 15:17
Member

Beiträge: 60
#30 Alles Super,

vielen Dank @Sabina....

Viele Grüsse
Drago
Seitenanfang Seitenende