"Your computer is infected!" Windows has detected spyware infection!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
29.01.2006, 16:22
Ehrenmitglied
Beiträge: 29434 |
||
|
||
30.01.2006, 16:32
...neu hier
Beiträge: 6 |
#17
Hi Sabina hab alles gemacht:
Logfile of HijackThis v1.99.1 Scan saved at 16:39:16, on 30.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ZoneLabs\isafe.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\sstray.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Canon\CAL\CALMAIN.exe D:\programme\valve\steam\steam.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Daniel\Desktop\Neuer Ordner (2)\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h O17 - HKLM\Software\..\Telephony: DomainName = h O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = h O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Vielen Dank Mfg Daniel |
|
|
||
01.02.2006, 11:35
Member
Beiträge: 60 |
#18
Hallo,
hab seit gestern ähnliches Problem, hatte es im dez schon so wie bei euch und heute ist es irgend so ein anderes Teil, aber auch mit dem besagten roten kreis, etc... Hier mal mein lg von hijackthis, Für jilfe bin ich sehr dankbar... Logfile of HijackThis v1.99.1 Scan saved at 11:35:03, on 01.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\WINDOWS\system32\LckFldService.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\system32\slserv.exe O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Eset\nod32kui.exe C:\Programme\MSN Messenger\msnmsgr.exe P:\Programme\Sony Ericsson\Mobile\audevicemgr.exe p:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE P:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE O:\Programme\Tobit InfoCenter\DVWIN32.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE P:\virenprogs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://vfmmosbach.homeip.net/ O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp96CB.tmp O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [\\toljaj\EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P32 "\\toljaj\EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: &NeoTrace It! - P:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll O9 - Extra 'Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - P:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121763403038 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\Software\..\Telephony: DomainName = office.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\WinVNC4.exe" -service (file missing) |
|
|
||
01.02.2006, 14:42
Ehrenmitglied
Beiträge: 29434 |
#19
dr.ago
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html regfreeze - CashDeluxe http://virus-protect.org/artikel/spyware/regfreeze.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 18:38
Member
Beiträge: 60 |
#20
@Sabina
Habe zwischenzeitlich folgendes rat von dir ausprobiert: "!! Anleitung: SpyAxe + SpywareStrike loeschen (Anleitung) 3 15885 Sabina 18.12.2005, 21:24 von Sabina" Hat soweit alles geklappt. Schick dir dennoch die logs von datafind.bat und die aktuelle hijackthis, zum auswerten ob alles soweit geklappt hat. Danke im voraus Datentr„ger in Laufwerk P: ist Private Volumeseriennummer: BD6A-51D1 Verzeichnis von P:\ 23.06.2005 00:18 1.298.436 s1a.mpg 23.06.2005 00:18 1.359.876 s2a.mpg 23.06.2005 00:18 1.345.540 s3a.mpg 23.06.2005 00:18 1.345.540 s4a.mpg 4 Datei(en) 5.349.392 Bytes 0 Verzeichnis(se), 4.205.613.056 Bytes frei Datentr„ger in Laufwerk P: ist Private Volumeseriennummer: BD6A-51D1 Verzeichnis von P:\ 23.06.2005 00:18 1.298.436 s1a.mpg 23.06.2005 00:18 1.359.876 s2a.mpg 23.06.2005 00:18 1.345.540 s3a.mpg 23.06.2005 00:18 1.345.540 s4a.mpg 4 Datei(en) 5.349.392 Bytes 0 Verzeichnis(se), 4.205.613.056 Bytes frei Datentr„ger in Laufwerk P: ist Private Volumeseriennummer: BD6A-51D1 Verzeichnis von P:\ 23.06.2005 00:18 1.298.436 s1a.mpg 23.06.2005 00:18 1.359.876 s2a.mpg 23.06.2005 00:18 1.345.540 s3a.mpg 23.06.2005 00:18 1.345.540 s4a.mpg 4 Datei(en) 5.349.392 Bytes 0 Verzeichnis(se), 4.205.613.056 Bytes frei Datentr„ger in Laufwerk P: ist Private Volumeseriennummer: BD6A-51D1 Verzeichnis von P:\ 23.06.2005 00:18 1.298.436 s1a.mpg 23.06.2005 00:18 1.359.876 s2a.mpg 23.06.2005 00:18 1.345.540 s3a.mpg 23.06.2005 00:18 1.345.540 s4a.mpg 4 Datei(en) 5.349.392 Bytes 0 Verzeichnis(se), 4.205.613.056 Bytes frei Logfile of HijackThis v1.99.1 Scan saved at 18:39:39, on 01.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\WINDOWS\system32\LckFldService.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\system32\slserv.exe C:\Programme\RealVNC\WinVNC4.exe O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Eset\nod32kui.exe C:\Programme\MSN Messenger\msnmsgr.exe P:\Programme\Sony Ericsson\Mobile\audevicemgr.exe p:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE P:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE P:\virenprogs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://vfmmosbach.homeip.net/ O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp96CB.tmp (file missing) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [\\toljaj\EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P32 "\\toljaj\EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: &NeoTrace It! - P:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - P:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121763403038 O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\Software\..\Telephony: DomainName = office.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\WinVNC4.exe" -service (file missing) Vielen Dank für eine kurze rückmeldung! |
|
|
||
01.02.2006, 18:44
Ehrenmitglied
Beiträge: 29434 |
#21
schade...ich wollte alles sehen.... und etwas ist schief gegangen..wie man am HijackThis-Log sehen kann
und die 4 Textdateien...du hast 4 Mal das gleiche abkopiert...berichtige es bitte ...der PC ist weiterhin verseucht.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 18:54
Member
Beiträge: 60 |
#22
@sagina
die datafind.bat bringt mir immer wieder das selbe log, und seh auch gerade im hijackthis-log dass der SpywareStrike noch da ist. Was heißt wolltest alles sehen????? das ist net mehr . anbei nochmal hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 18:56:01, on 01.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\WINDOWS\system32\LckFldService.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\system32\slserv.exe C:\Programme\RealVNC\WinVNC4.exe O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Eset\nod32kui.exe C:\Programme\MSN Messenger\msnmsgr.exe P:\Programme\Sony Ericsson\Mobile\audevicemgr.exe p:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE P:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE P:\virenprogs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://vfmmosbach.homeip.net/ O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp96CB.tmp (file missing) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - P:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [\\toljaj\EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P32 "\\toljaj\EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: &NeoTrace It! - P:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - P:\Programme\Magic NetTrace\MTIE.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - P:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121763403038 O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\Software\..\Telephony: DomainName = office.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = office.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = office.local O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: DvISE Replica (DavidReplica) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE O23 - Service: DvISE Service Layer (DavidServiceLayer) - Tobit Software - O:\PROGRA~1\TOBITI~1\David\CODE\SL.EXE O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\WinVNC4.exe" -service (file missing) |
|
|
||
01.02.2006, 18:56
Ehrenmitglied
Beiträge: 29434 |
#23
Start -- Ausführen -- reinschreiben : cmd -- DOS wird sich öffnen
einzeln in das schwarze DOS-Fenster reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit nun wird sich automatisch der Texteditor öffnen und alle Daten einzeigen, die sich auf dem PC befinden. Kopiere bitte nur die letzten 30 Tage raus. Dann schliesse DOS und führe die gleiche Anweisungen aus für: cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 19:16
Member
Beiträge: 60 |
#24
Datentr„ger in Laufwerk C: ist C
Volumeseriennummer: B870-CB17 Verzeichnis von C:\WINDOWS\system32 01.02.2006 18:13 4.841 lckfldservicelog.txt 01.02.2006 13:06 48.552 perfc007.dat 01.02.2006 13:06 311.938 perfh009.dat 01.02.2006 13:06 317.168 perfh007.dat 01.02.2006 13:06 40.326 perfc009.dat 01.02.2006 13:06 723.744 PerfStringBackup.INI 31.01.2006 22:15 13.646 wpa.dbl 09.01.2006 19:13 32 mslck.dat 21.12.2005 01:55 2.550 Uninstall.ico 21.12.2005 01:55 1.406 Help.ico 21.12.2005 01:55 1.718 Open.ico 21.12.2005 01:55 5.350 IE.ico 21.12.2005 01:55 9.470 Desktop.ico 21.12.2005 01:55 1.718 Quick.ico Datentr„ger in Laufwerk C: ist C Volumeseriennummer: B870-CB17 Verzeichnis von C:\temp ---(da ist alles leer)---- Datentr„ger in Laufwerk C: ist C Volumeseriennummer: B870-CB17 Verzeichnis von C:\WINDOWS 01.02.2006 18:14 0 0.log 01.02.2006 18:13 2.048 bootstat.dat 01.02.2006 18:12 336.999 WindowsUpdate.log 01.02.2006 16:19 137.577 setupapi.log 01.02.2006 12:54 633.460 ntbtlog.txt 01.02.2006 12:34 240 setupact.log 01.02.2006 11:10 839 Tobit.ini 01.02.2006 01:16 192 winamp.ini 01.02.2006 01:02 998 win.ini 01.02.2006 01:02 227 system.ini 28.01.2006 15:18 216 wiadebug.log 27.01.2006 20:44 50 wiaservc.log 27.01.2006 15:19 306 gttb64.ini 27.01.2006 15:07 22 Mubri2002 25.01.2006 15:40 116 NeroDigital.ini 25.01.2006 15:15 71 KTEL.INI 21.01.2006 23:03 17.095 wmsetup.log 15.01.2006 23:25 13.212 ModemLog_Smart Link 56K Modem.txt 13.01.2006 18:09 9.736 VFRAME32.INI 13.01.2006 17:52 36 VFORTSCH.INI 13.01.2006 17:52 600 VPMS.INI 13.01.2006 15:11 316.640 WMSysPr9.prx 27.12.2005 16:03 345 OEWABLog.txt 16.12.2005 17:30 14.120 DirectX.log 16.12.2005 17:29 276 game.ini 15.12.2005 11:04 2.838 KB905915.log Datentr„ger in Laufwerk C: ist C Volumeseriennummer: B870-CB17 Verzeichnis von C:\ 01.02.2006 19:17 0 sys.txt 01.02.2006 19:15 8.691 system.txt 01.02.2006 19:12 97 systemtemp.txt 01.02.2006 19:08 109.672 system32.txt 01.02.2006 18:13 805.306.368 pagefile.sys 01.02.2006 01:02 211 boot.ini 27.01.2006 15:19 13.030 PDOXUSRS.NET 03.11.2005 03:08 5.238 data so das ist es mal... |
|
|
||
01.02.2006, 21:37
Ehrenmitglied
Beiträge: 29434 |
#25
da kannst du mir auch gleich erklaeren, wozu dieses Tool gut ist....Tobit
http://www.2-ad.de/store/ Zitat loeschen: C:\WINDOWS\system32\mslck.dat Spysweeper--> lade die trial-Version--> scanne und kopiere den scanreport http://virus-protect.org/spysweeper.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.02.2006, 21:52
Member
Beiträge: 60 |
#26
@sabina
Spysweeper--> lade die trial-Version--> scanne und kopiere den scanreport http://virus-protect.org/spysweeper.html dieses programm läuft bei mir leider nicht mehr, da ich wie erwähnt im dezember ähnliches problem hatte und damal ebenfalls der rat war dieses prog zu nutzen. was soll ich nun tun??? vielen dank schon mal |
|
|
||
01.02.2006, 22:50
Ehrenmitglied
Beiträge: 29434 |
#27
nun im Grunde muesste alles sauber sein (danke fuer die info ueber tobit)
scanne mit Kaspersky und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.02.2006, 15:07
Member
Beiträge: 60 |
#28
@sabina
ich helfe gerne ;-) der report von kaspersky ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Thursday, February 02, 2006 15:08:08 Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 2/02/2006 Kaspersky Anti-Virus database records: 163759 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - Folders: C:\ O:\ P:\ Scan Statistics: Total number of scanned objects: 129289 Number of viruses found: 2 Number of infected objects: 2 Number of suspicious objects: 0 Duration of the scan process: 5695 sec Infected Object Name - Virus Name C:\!KillBox\mscornet.exe Infected: Trojan-Downloader.Win32.Zlob.fw C:\!KillBox\nvctrl.exe Infected: Trojan-Downloader.Win32.Zlob.fu Scan process completed. |
|
|
||
02.02.2006, 15:09
Ehrenmitglied
Beiträge: 29434 |
#29
C:\!KillBox\ <-- loesche manuell, alles, was in der Killbox-Datei ist.
Dann ...ist wieder alles in Ordnung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.02.2006, 15:17
Member
Beiträge: 60 |
||
|
||
C:\WINDOWS\tool2.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\DontCha.zip
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\More MP3.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Read first.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Sugababes\Sugababes
wir riskieren es mal...fixe das (damit wird die Internetverbindung, die anscheinend korumpiert ist...geloescht.
dann musst du eine neue erstellen
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h
O17 - HKLM\Software\..\Telephony: DomainName = h
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = h
pc neustarten
manuell mit den Zugangsdaten des Providers hergestellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. --> anhaken
poste das neue Log vom HijackThis
__________
MfG Sabina
rund um die PC-Sicherheit