your computer is infected |
||
|---|---|---|
| #0
| ||
|
23.11.2005, 07:49
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
23.11.2005, 20:40
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@nixnull
CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html poste das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.11.2005, 20:59
...neu hier
Themenstarter Beiträge: 10 |
#3
Jau, erst mal vielen Dank fürs Kümmern!! Ich hoffe ich machs richtig:
Log vom Silentrunner: "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "BackupNotify" = "C:\Programme\HP\Digital Imaging\bin\backupnotify.exe" [file not found] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS] "Mobipocket Web Companion" = "C:\Programme\Gemeinsame Dateien\Mobipocket Shared\webcomp.exe -m" ["Mobipocket.com"] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "nvctrl.exe" = "nvctrl.exe" [file not found] "wininet.dll" = "mscornet.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /installquiet" ["NVIDIA Corporation"] "Cpqset" = "C:\Programme\HPQ\Default Settings\cpqset.exe" [null data] "HPHUPD05" = "c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [file not found] "HPHmon05" = "C:\WINDOWS\System32\hphmon05.exe" ["Hewlett-Packard"] "srmclean" = "C:\Cpqs\Scom\srmclean.exe" [null data] "VCDPlayer" = "C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe" ["H+H Software GmbH"] "IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\point32.exe"" [MS] "FineReader7NewsReaderPro" = "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" ["ABBYY (BIT Software)"] "HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."] "D-Link Air Utility" = "C:\Programme\D-Link\Air Utility\AirCFG.exe" ["D-Link"] "ANIWZCSService" = "C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe" ["Alpha Networks Inc."] "T-DSL SpeedMgr" = ""C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"" ["T-Systems Nova, Berkom"] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] "AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "eabconfg.cpl" = "C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start" ["Hewlett-Packard "] "SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {7caf96a2-c556-460a-988e-76fc7895d284}\(Default) = "HomepageBHO" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hpAB05.tmp" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] Verzeichnis von C:\WINDOWS\system32 22.11.2005 19:05 344 ncompat.tlb 22.11.2005 17:06 22.016 ldB006.tmp 22.11.2005 15:21 53.770 perfc009.dat 22.11.2005 15:21 393.086 perfh007.dat 22.11.2005 15:21 382.026 perfh009.dat 22.11.2005 15:21 64.848 perfc007.dat 22.11.2005 15:21 902.476 PerfStringBackup.INI 22.11.2005 08:18 1.158 wpa.dbl 21.11.2005 17:44 98.304 svchosts.dll 21.11.2005 17:44 4.286 ot.ico 21.11.2005 17:44 4.286 ts.ico 21.11.2005 08:40 176.167 rmoc3260.dll 21.11.2005 08:40 5.632 pndx5032.dll 21.11.2005 08:40 6.656 pndx5016.dll 21.11.2005 08:40 278.528 pncrt.dll 09.11.2005 06:50 218.448 FNTCACHE.DAT 02.11.2005 06:34 2.377.568 MRT.exe 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 16:26 3.013.120 mshtml.dll 23.09.2005 04:06 8.491.520 shell32.dll 10.09.2005 02:54 2.067.968 cdosys.dll 03.09.2005 00:53 664.064 wininet.dll 03.09.2005 00:53 39.424 pngfilt.dll 03.09.2005 00:53 474.112 shlwapi.dll 03.09.2005 00:53 146.432 msrating.dll 03.09.2005 00:53 448.512 mshtmled.dll 03.09.2005 00:53 251.392 iepeers.dll 03.09.2005 00:53 1.484.288 shdocvw.dll 03.09.2005 00:53 55.808 extmgr.dll 03.09.2005 00:53 530.432 mstime.dll 03.09.2005 00:53 605.696 urlmon.dll 03.09.2005 00:53 205.312 dxtrans.dll 03.09.2005 00:53 96.768 inseng.dll 03.09.2005 00:53 1.019.904 browseui.dll 03.09.2005 00:53 152.064 cdfview.dll 03.09.2005 00:53 1.055.744 danim.dll 01.09.2005 02:44 292.352 winsrv.dll 01.09.2005 02:44 19.968 linkinfo.dll 30.08.2005 04:55 1.292.800 quartz.dll 29.08.2005 12:27 520.968 LegitCheckControl.DLL 23.08.2005 04:39 124.416 umpnpmgr.dll 22.08.2005 19:31 197.632 netman.dll Verzeichnis von C:\DOKUME~1\medwil\LOKALE~1\Temp 23.11.2005 20:43 70.759 Silent Runners.zip 23.11.2005 20:27 0 sa13.tmp 23.11.2005 19:47 0 sa10.tmp 23.11.2005 19:07 0 saD.tmp 23.11.2005 18:27 0 saA.tmp 23.11.2005 17:45 0 sa5.tmp 23.11.2005 17:45 67 hpotdd003.log 23.11.2005 17:45 279 WCESCOMM.LOG 23.11.2005 11:11 67 hpotdd002.log 23.11.2005 10:32 0 sa12.tmp 23.11.2005 09:52 0 saB.tmp 23.11.2005 09:12 0 sa8.tmp 23.11.2005 08:30 0 sa4.tmp 23.11.2005 08:28 67 hpotdd001.log 23.11.2005 07:50 0 saE.tmp 23.11.2005 07:10 0 sa9.tmp 22.11.2005 19:57 0 sa7.tmp 22.11.2005 19:16 0 sa3.tmp 22.11.2005 19:14 67 hpotdd000.log 22.11.2005 19:14 2.106 39e5_appcompat.txt 22.11.2005 19:12 58.880 79d19.mst 22.11.2005 19:05 0 sa2.tmp 22.11.2005 19:03 67 hpotdd772.log 22.11.2005 19:03 2.106 3bb4_appcompat.txt 16.02.2005 11:06 218.112 HijackThis.exe 25 Datei(en) 352.577 Bytes 0 Verzeichnis(se), 22.365.581.312 Bytes frei Verzeichnis von C:\WINDOWS 23.11.2005 19:28 32.334 SchedLgU.Txt 23.11.2005 17:49 159 wiadebug.log 23.11.2005 17:47 1.839.200 WindowsUpdate.log 23.11.2005 17:45 4.112 ModemLog_Conexant 56K ACLink Modem.txt 23.11.2005 17:45 50 wiaservc.log 23.11.2005 17:45 0 0.log 23.11.2005 17:45 2.048 bootstat.dat 22.11.2005 19:16 303 system.ini 22.11.2005 15:14 0 nsreg.dat 22.11.2005 15:13 99.970 UninstallFirefox.exe 22.11.2005 15:13 2.608 mozver.dat 22.11.2005 14:27 316.640 WMSysPr9.prx 22.11.2005 08:24 1.316 win.ini 21.11.2005 08:43 25 cdplayer.ini 28.10.2005 12:27 13 TEXTware.ini 26.08.2005 16:26 3.928 ModemLog_Standard Modem over IR link.txt 20.07.2005 11:49 3.435 askview.ini Verzeichnis von C:\ 23.11.2005 20:57 0 sys.txt 23.11.2005 20:57 7.143 system.txt 23.11.2005 20:56 1.449 systemtemp.txt 23.11.2005 20:54 100.785 system32.txt 23.11.2005 20:43 2.454 winzip.log 23.11.2005 17:45 535.875.584 hiberfil.sys 23.11.2005 17:45 805.306.368 pagefile.sys 22.11.2005 17:15 900 hpfr3420.xml 22.11.2005 17:15 21.344 hpfr3425.log 18.10.2005 18:45 4.253 TDSLCheck.txt 10.10.2004 09:49 211 boot.ini 10.10.2004 09:39 47.564 ntdetect.com 10.10.2004 09:39 251.184 ntldr 23.01.2004 11:50 80 volumeid.zbx 28.12.2003 13:34 0 IO.SYS 28.12.2003 13:34 0 MSDOS.SYS 29.08.2002 02:00 4.952 bootfont.bin ich hoffe mal es war alles richtig so...?! wenn nicht "bitte" nachsichtig sein :-( |
|
|
|
|
|
|
23.11.2005, 21:33
Ehrenmitglied
Beiträge: 29434 |
#4
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen
http://virus-protect.org/reg/mcor.reg ------------------------------------------------------------------ KILLBOX http://virus-protect.org/killbox.html C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\svchosts.dll C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico Delete File on Reboot -- anhaken -- reinkopieren: und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten den PC neustarten, wenn es nicht von allein geschieht  Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "mcor.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird. smitRem TOOL (Entfernungstool) http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread loesche, falls du es findest: C:\Programme\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\medwil\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\medwil\Favoriten\Free XXX Sites List.url öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpAB05.tmp (file missing) O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file) PC neustarten wende CleanUp an http://virus-protect.org/cleanup.html scanne mit Panda--> poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.11.2005, 21:40
...neu hier
Themenstarter Beiträge: 10 |
#5
boaahhh....also vielen lieben Dank erst mal (wo soll ich die Blumen hinschicken?). Ich versuchs mal, nur versprechen kann ich nicht ob ich das jetzt raffe...ich melde mich jedenfalls wieder!
|
|
|
|
|
|
|
23.11.2005, 21:53
Ehrenmitglied
Beiträge: 29434 |
#6
natuerlich...du musst ja den scanreport vom Panda hier posten
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.11.2005, 22:02
...neu hier
Themenstarter Beiträge: 10 |
#7
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico Leider nimmt KILLBOX diese 3 nicht zum Delete an!(oder muss ich länger warten wenns nicht direkt deleted wird?) Was soll ich tun? ähm...ich glaub er hats doch deleted, moment noch, ich habe wieder hoffnung :-) OK: so, bisher scheint mal (fast) alles gut geklappt zu haben... also: - die Textdatei von smitRem konnte ich nicht kopieren, lief zu schnell und ging nicht, war aber saumäßig viel! - folgendes war schon gelöschet, jedenfalls nicht aktuell von mir mehr gefunden: C:\Programme\SpyAxe C:\WINDOWS\system32\1024 C:\Dokumente und Einstellungen\medwil\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\medwil\Favoriten\Free XXX Sites List.url - das hier gabs nicht: O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpAB05.tmp (file missing), das andere habe ich gelöscht! - Panda geht nicht, wenn ich auf den Banner klicke zeigt er mir an: Browser not supported. Ich muss ins Bett, melde mich morgen wieder! Vorerst vielen herzlichen Dank!!! Dieser Beitrag wurde am 23.11.2005 um 23:25 Uhr von nixnull editiert.
|
|
|
|
|
|
|
23.11.2005, 23:23
Ehrenmitglied
Beiträge: 29434 |
#8
kopiere die Dateien einfach rein...dann starte den PC neu und scanne mit Panda...dann poste den scanreport
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.11.2005, 23:32
...neu hier
Themenstarter Beiträge: 10 |
#9
also, habe das mit Panda nochmals probieren können - mehrmals - bekam aber immer diese Meldung:
Possible causes of this error are: Not allowing the application's ActiveX control to be downloaded. Problems with the Internet connection. The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,... Ciao |
|
|
|
|
|
|
24.11.2005, 00:01
Ehrenmitglied
Beiträge: 29434 |
#10
http://virus-protect.org/escan.html
scanne mit esan und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.11.2005, 20:52
...neu hier
Themenstarter Beiträge: 10 |
#11
Danke für den Hinweis! Ich bin aber leider zu früh wieder aus dem abgesicherten Modus raus :-(
Soll ich das ganze morgen nochmal oder wie soll ich weiter vorgehen? (Übrigens ist das "your computer ist infected-Problem" super gelöst - DANKE!!!) Gruß, nixnull |
|
|
|
|
|
|
25.11.2005, 01:07
Ehrenmitglied
Beiträge: 29434 |
#12
nun ja...man sollte noch mal alles ueberpruefen...es kann ja sein, dass ich was uebersehen habe (bin kein Virenscanner )
 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.11.2005, 08:36
...neu hier
Themenstarter Beiträge: 10 |
#13
Moin, davon abgesehen ob Du nicht doch als Virenscanner durchkämst :-) hoffe ich mal alles richtig gemacht zu haben, hier das Resultat:
-------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: -------------------- INFECTED -------------------- 2: 1: Fri Nov 25 07:14:49 2005 => Offending file found: C:\WINDOWS\irsetup.exe 3: 2: Fri Nov 25 07:14:49 2005 => System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: No Action Taken. 4: 1: Fri Nov 25 07:14:49 2005 => Offending file found: C:\WINDOWS\irsetup.exe 5: 3: Fri Nov 25 07:28:39 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* 6: 4: Fri Nov 25 07:58:02 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065298.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 7: 5: Fri Nov 25 07:58:03 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065308.exe infected by "Trojan.Win32.Small.fs" Virus! Action Taken: No Action Taken. 8: 6: Fri Nov 25 07:58:03 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065313.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 9: 7: Fri Nov 25 07:58:04 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065336.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 10: 8: Fri Nov 25 07:58:04 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065347.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 11: 9: Fri Nov 25 07:58:06 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065360.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 12: 10: Fri Nov 25 07:58:29 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP497\A0065622.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 13: 11: Fri Nov 25 07:58:52 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP498\A0065899.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 14: 12: Fri Nov 25 07:58:54 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP498\A0065937.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. 15: 13: Fri Nov 25 07:59:08 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP500\A0066182.exe infected by "Trojan-Downloader.Win32.Zlob.bj" Virus! Action Taken: No Action Taken. 16: 14: Fri Nov 25 07:59:17 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP502\A0066225.exe infected by "Trojan.Win32.StartPage.afw" Virus! Action Taken: No Action Taken. 17: 15: Fri Nov 25 07:59:17 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP502\A0066235.tlb infected by "Trojan.Win32.StartPage.adh" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- TAGGED --------------------- -------------------------------------------------- 1: --------------------- TAGGED --------------------- 2: 1: Fri Nov 25 07:18:22 2005 => File C:\!KillBox\svchosts.dll tagged as not-a-virus  ownloader.Win32.Spax.a. No Action Taken.3: 2: Fri Nov 25 07:55:51 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP475\A0051051.exe tagged as "not-a-virus  orn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.4: 3: Fri Nov 25 07:58:03 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065305.exe tagged as "not-a-virus:AdWare.Win32.PowerScan.a". Action Taken: No Action Taken. 5: 4: Fri Nov 25 07:59:21 2005 => File C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP502\A0066288.dll tagged as not-a-virus ownloader.Win32.Spax.a. No Action Taken.6: 1: C:\!KillBox\svchosts.dll => tagged ownloader.Win32.Spax.a.7: 14: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP502\A0066288.dll => tagged ownloader.Win32.Spax.a.-------------------------------------------------- --------------------- ERRORS --------------------- -------------------------------------------------- 6: 6: Fri Nov 25 07:15:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\StarInstall.ocx". Action Taken: No Action Taken. 7: 7: Fri Nov 25 07:15:11 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\HP\Digital Imaging\bin\RandData\name\font\count.dat". Action Taken: No Action Taken. 8: 8: Fri Nov 25 07:15:11 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\HP\Digital Imaging\bin\RandData\name\np\plname.dat". Action Taken: No Action Taken. 9: 9: Fri Nov 25 07:15:11 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\HP\Digital Imaging\bin\RandData\name\river\rcountry.dat". Action Taken: No Action Taken. "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" r 42: 42: Fri Nov 25 07:15:16 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".LZZZZZZZ". Action Taken: No Action Taken. 43: 43: Fri Nov 25 07:15:16 2005 => Entry " 85: 85: Fri Nov 25 07:15:20 2005 => Entry "HKCR\CLSID\{7CAF96A2-C556-460A-988E-76FC7895D284}" refers to invalid object "C:\WINDOWS\system32\hpAB05.tmp". Action Taken: No Action Taken. 86: 86: Fri Nov 25 07:15:21 2005 => Entry "HKCR\CLSID\{A2D4475B-C9AA-48E2-A029-1DB829DACF7B}" refers to invalid object "C:\PROGRA~1\Google\GOOGLE~1\GOOGLE~1.EXE". Action Taken: No Action Taken. 87: 87: Fri Nov 25 07:15:21 2005 => Entry "HKCR\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}" refers to invalid object "C:\WINDOWS\system32\svchosts.dll". Action Taken: No Action Taken. 114: 114: Fri Nov 25 07:15:27 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken. 115: 115: Fri Nov 25 07:15:27 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. -------------------------------------------------- -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT --------- -------------------------------------------------- 1: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065298.tlb => Trojan.Win32.StartPage.adh 2: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065308.exe => Trojan.Win32.Small.fs 3: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065313.tlb => Trojan.Win32.StartPage.adh 4: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065336.tlb => Trojan.Win32.StartPage.adh 5: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065347.tlb => Trojan.Win32.StartPage.adh 6: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP494\A0065360.tlb => Trojan.Win32.StartPage.adh 7: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP497\A0065622.tlb => Trojan.Win32.StartPage.adh 8: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP498\A0065899.tlb => Trojan.Win32.StartPage.adh 9: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP498\A0065937.tlb => Trojan.Win32.StartPage.adh 10: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP500\A0066182.exe => Trojan-Downloader.Win32.Zlob.bj 11: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP502\A0066225.exe => Trojan.Win32.StartPage.afw 12: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP502\A0066235.tlb => Trojan.Win32.StartPage.adh 13: C:\!KillBox\svchosts.dll => tagged ownloader.Win32.Spax.a.14: C:\System Volume Information\_restore{DB5055F2-CB54-4F27-B818-B876DE49E71E}\RP502\A0066288.dll Dieser Beitrag wurde am 25.11.2005 um 08:39 Uhr von nixnull editiert.
|
|
|
|
|
|
|
25.11.2005, 11:33
Ehrenmitglied
Beiträge: 29434 |
#14
Loesche: (wenn es noch da ist......)
C:\WINDOWS\irsetup.exe C:\!KillBox\svchosts.dll Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 neustarten, dann aktiviere die Systemwiederherstellung wieder ------------------------------------------------------------------------ TuneUp 2006 (30 Tage free) Shareware http://virus-protect.org/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner und alles Gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.11.2005, 14:36
...neu hier
Beiträge: 2 |
#15
Oh mein Gott...
Mir ist schlecht... Ich habe eben Cleanup heruntergeladen und durchlaufen lassen, ohne vorher die Options einzusehen - jetzt ist alles im D:\Temp\-Ordner einfach gelöscht worden. DAS - WAR - MIST! Denn in diesem Ordner hatte ich Fotos der letzten 3 Jahre gespeichert und andere wichtige Dateien. Ich fühle mich, als ob mir jemand einen Dolchstoß verpaßt hat. Wie sieht's mit einer Systemwiederherstellung aus? Das bringt wahrscheinlich nichts, oder? Grüße, Peter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich weiß, keine Ahnung von PC haben ist sträflich, aber ich will mir ja Mühe geben! Ich bin sozusagen Anfänger, habe keinen blassen Schimmer von dem was ich hier lese und es dauerte Stunden um zu raffen, was ich euch jetzt zeigen kann! Kurzum: diese "your computer is infected" nervt seit 2 Tagen und das kann ich Euch anbieten (und bitte helft mir so, dass ich verstehe was Ihr meint :-))
UND VIELEN DANK FÜR DIE LIEBE MÜHE!!!
Und noch mal ich, 12 Stunden später: wenn sich jemand erbarmt mir mit meinem Problem helfen zu wollen, es aber zeitlich nicht so schafft wie ich es gerne hätte (vll.aufgrund der vielen Anfragen hier), dann wäre ich schon beruhigt, wenn ne kurze Notiz dazu käme. Und nix für ungut....nur ich kann so schlecht weiter arbeiten mit dem PC. DANKE!!!
Logfile of HijackThis v1.99.1
Scan saved at 07:40:35, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\D-Link\Air Utility\AirCFG.exe
C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Mobipocket Shared\webcomp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpohmr08.exe
C:\Programme\HP\Digital Imaging\bin\hpotdd01.exe
C:\Dokumente und Einstellungen\medwil\Eigene Dateien\Downloads\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpoevm08.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spss_lmd.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\MEDWIL\EIGENE~1\DOWNLO~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\medwil\Eigene Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de8l.hpwis.com/
O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpAB05.tmp (file missing)
O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programme\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BackupNotify] C:\Programme\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Mobipocket Web Companion] C:\Programme\Gemeinsame Dateien\Mobipocket Shared\webcomp.exe -m
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Dokumente und Einstellungen\medwil\Eigene Dateien\Downloads\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - blank (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - blank (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8l.hpwis.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{05FDD1A8-B62A-4D4A-A099-4A50F0E5B048}: NameServer = 217.237.150.141 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{05FDD1A8-B62A-4D4A-A099-4A50F0E5B048}: NameServer = 217.237.150.141 217.237.151.161
O17 - HKLM\System\CS3\Services\Tcpip\..\{05FDD1A8-B62A-4D4A-A099-4A50F0E5B048}: NameServer = 217.237.150.141 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Spss License Manager (SpssLM) - Unknown owner - C:\WINDOWS\system32\spss_lmd.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe