"Your system is infected with spyware" *sry* |
||
---|---|---|
#0
| ||
24.11.2005, 18:42
...neu hier
Beiträge: 10 |
||
|
||
24.11.2005, 19:41
Member
Beiträge: 21 |
#2
Hi Chrissi
Setze vor folgende Zeilen einen Hacken und klicke auf fix checked. Danach ein neues Log machen und posten. C:\WINDOWS\system32\paytime.exe C:\WINDOWS\system32\paytime.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe Ich empfehle dir einen Spywarescanner, wie z.B. Spy Sweeper über das System laufen zu lassen Gruß Torstiko |
|
|
||
24.11.2005, 22:11
Member
Beiträge: 4730 |
#3
Zitat O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeOptional. Diese Einträge sind gutartig. Lösche mit Killbox (http://managor.de/killbox.htm) folgende Dateien: c:\secure32.html C:\WINDOWS\system32\paytime.exe und (falls vorhanden): c:\windows\tool2.exe c:\windows\system32\tibs.exe c:\windows\system32\paydial.exe c:\windows\system32\newdial.exe __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
25.11.2005, 08:59
...neu hier
Themenstarter Beiträge: 10 |
#4
So. Ich hab nun bei HijackThis die besagten Seiten (mit Ausnahme der zwei gutartigen) mit "Fix checked" beglückt.
Danach hab ich mit Killbox versucht secure32.html und paytime.exe zu löschen. Aber ich glaub, dass hat nicht funktioniert, zumindest sind die Dateien noch da und mein Desktop sieht immernoch seltsam aus. o.o'' Hier das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 08:55:20, on 25.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\NILaunch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\Wtablet\TabUserW.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\Tablet.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\User\Eigene Dateien\Eigene Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C7DAD3E2-292E-494C-8231-6D0AC62BF690}: NameServer = 192.168.100.50 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Stehen die zwei "gutartigen" vielleicht auch im Zusammenhang mit dem Desktophintergrund? *verwirrt* Lieben Gruß und vielen Dank, chrissi +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Nachträge: Achso, zu den anderen 4 exe-Dateien: tool2.exe hatte Norton schon erkannt und gelöscht und die anderen drei habe ich nicht drauf. Hab nun SpySweeper auch noch mal durchlaufen lassen. Der hat auch nochmal was gefunden. Nun Ist dieser komische Hintergrund weg, aber die Einstellungen lassen sich dort noch immer nicht verändern. :-S Seit dem (zweiten) Neustart sind nun auch secure32.html und paytime.exe weg. Wollte außerdem mal fragen, was das für Dateien sind, die haben das gleiche Datum wie die secure32.html Datei, haben die damit was zu tun? - unique - Datei - 0 KB - 24.11.2005 13:49 - kl.exe - Anwendung - 57 KB - 24.11.2005 13:49 - hosts - Datei - 0 KB - 24.11.2005 13:50 Und mir ist noch was aufgefallen. Wenn ich Windows herunterfahre, kommt kurz eine Fehlermeldung, die ich aber nicht vollständig lesen kann, weil der PC zu schnell ist. Da kommt ein Fenster mit diesem roten Symbol (Fehlermeldung halt) und der Satz beginnt mit "Die Anwendung..." :-S Dieser Beitrag wurde am 25.11.2005 um 09:51 Uhr von chrissi25 editiert.
|
|
|
||
25.11.2005, 12:05
Member
Beiträge: 21 |
#5
Hi Chrissi
Ich kann leider nichts genaues über die 3 von dir genannten Dateien sagen. Der Verdacht ist jedoch groß, das es sich dabei um nichts gutes handelt. Auch könnte kl für Keylogger stehen. Ich würde sie sicherheitshalber entfernen. Weshalb sich die Hintergrundeinstellungen nicht ändern lassen, kann ich dir leider nicht sagen. Gruß Torstiko |
|
|
||
25.11.2005, 12:36
Member
Beiträge: 4730 |
#6
Die drei Dateien würde ich auch entfernen lassen.
Ein Scan mit eScanCheck wäre noch empfehlenswert: http://managor.de/escan.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
25.11.2005, 13:15
...neu hier
Themenstarter Beiträge: 10 |
#7
@ Magagor - Hab von deiner Seite die Datei für eScan geöffnet und wie angeleitet installieren in "c:\escheck" gedrückt.
Darauf folgte eine Fehlermeldung: Component "mscomctl.ocx" or one of its dependencies not correctly registered: a file is missing or invalid Die Fehlermeldung folgt wieder, wenn ich das Programm öffnen will. ?.? Edit: Bin dabei, zu versuchen, die Warnmeldung bein Herunterfahren mitzuschreiben. Bisheriger Status: "Die Anwendung konnte nicht initialisiert werde, da [...]" Dieser Beitrag wurde am 25.11.2005 um 17:07 Uhr von chrissi25 editiert.
|
|
|
||
25.11.2005, 18:10
Member
Beiträge: 4730 |
#8
mscomctl.ocx (Download und ins System32-Verzeichnis entpacken: http://www.majorgeeks.com/files/mscomctl.zip)
Falls die Datei vorhanden ist, einfach folgendes ausführen: Start -> Ausführen -> "REGSVR32 MSCOMCTL.OCX" (ohne Anführungszeichen) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
26.11.2005, 10:39
...neu hier
Themenstarter Beiträge: 10 |
#9
Hab eScan nun wie angeleitet installiert, hat auch funktioniert. Dann hab ich - wie in der Anleitung auf deiner Seite steht - im Nemü wie folgt gewählt:
Sonstiges --> eScan - Download / Update / Start Dort hab ich die ersten zwei Kontrollkästchen aktiviert, wie verlangt, darauf sagte mir das Programm: Update fehlgeschlagen. KAVUPD.exe nicht vorhanden. Liegt das jetzt an meinem PC oder an dem Programm/Server/was auch immer? o.o'' Nya, ich hab dann trotzdem einfach mal auf Starten gedrückt und hier die Auswertung: +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ -------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: Sat Nov 26 11:34:05 2005 => Offending file found: C:\DOKUME~1\User\LOKALE~1\Temp\insthelp.dll 2: Sat Nov 26 11:34:05 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. 3: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temp\insthelp.dll 4: Sat Nov 26 11:34:08 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. 5: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\496nkl2n\adswrapper[1].js 6: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken. 7: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\cdqr4h67\adsend[1].js 8: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken. 9: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\temporary internet files\content.ie5\ghuvk9mb\show_ads[2].js 10: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. 11: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\496nkl2n\adswrapper[1].js 12: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken. 13: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\cdqr4h67\adsend[1].js 14: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken. 15: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\content.ie5\ghuvk9mb\show_ads[2].js 16: Sat Nov 26 11:34:08 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. 17: Sat Nov 26 11:34:08 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat 18: Sat Nov 26 11:34:08 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken. 19: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\525E1051.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken. 20: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5430160A.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken. 21: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\544311F4.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken. 22: Sat Nov 26 11:39:53 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\54610BD4.tmp infected by "Email-Worm.Win32.NetSky.b" Virus! Action Taken: No Action Taken. 23: Sat Nov 26 11:39:54 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6A7E43C3.exe infected by "not-virus:Hoax.Win32.Renos.ab" Virus! Action Taken: No Action Taken. 24: Sat Nov 26 11:39:55 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7EC90E05.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken. 25: Sat Nov 26 11:41:36 2005 => Scanning File C:\Dokumente und Einstellungen\User\Favoriten\Your system is infected with spyware sry - Security Forum.url [**] 26: Sat Nov 26 11:50:43 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003812.exe infected by "Trojan.Win32.StartPage.adi" Virus! Action Taken: No Action Taken. 27: Sat Nov 26 11:50:45 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003845.exe infected by "Trojan-Spy.Win32.Small.dg" Virus! Action Taken: No Action Taken. 28: Sat Nov 26 11:50:49 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003920.exe infected by "Trojan-Downloader.Win32.Agent.wn" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- TAGGED --------------------- -------------------------------------------------- 1: Sat Nov 26 11:39:51 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\11AD733B.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 2: Sat Nov 26 11:39:51 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\16D10B93.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 3: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\1E7C1D23.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 4: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\27FD4CAE.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 5: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2A801BEA.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 6: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2E9F1561.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 7: Sat Nov 26 11:39:52 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\32D10AC3.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 8: Sat Nov 26 11:39:55 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7C690CA1.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 9: Sat Nov 26 11:39:55 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7DC36F24.exe tagged as "not-a-virus:AdWare.Win32.SurfAccuracy.d". Action Taken: No Action Taken. 10: Sat Nov 26 11:50:16 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP13\A0000377.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 11: Sat Nov 26 11:50:16 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP13\A0000379.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 12: Sat Nov 26 11:51:21 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP9\A0000255.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 13: Sat Nov 26 11:51:22 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP9\A0000257.dll tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. 14: Sat Nov 26 11:51:22 2005 => File C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP9\A0000267.exe tagged as "not-a-virus:AdWare.Win32.SurfSide.aa". Action Taken: No Action Taken. -------------------------------------------------- --------------------- ERRORS --------------------- -------------------------------------------------- 1: Sat Nov 26 11:34:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\dummy.txt". Action Taken: No Action Taken. 2: Sat Nov 26 11:34:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\system32\cmmgr32.exe". Action Taken: No Action Taken. 3: Sat Nov 26 11:34:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "WS_FTPPro". Action Taken: No Action Taken. 4: Sat Nov 26 11:34:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{68BD9813-DDB5-4AD2-BD5E-DAEA8D85A17B}". Action Taken: No Action Taken. 5: Sat Nov 26 11:34:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{6E7DD182-9FC6-4651-0095-2E666CC6AF35}". Action Taken: No Action Taken. 6: Sat Nov 26 11:34:16 2005 => Entry "HKCR\CLSID\{07E64E24-3276-11CF-8823-0000C54F0CE6}" refers to invalid object "C:\PROGRA~1\NET-IT~1\NET-IT~1.EXE". Action Taken: No Action Taken. 7: Sat Nov 26 11:34:18 2005 => Entry "HKCR\CLSID\{50437762-287D-47fc-B71A-3A3C3F731F09}" refers to invalid object "C:\Programme\Ulead Systems\Ulead PhotoImpact 7\wpe.dll". Action Taken: No Action Taken. 8: Sat Nov 26 11:34:23 2005 => Entry "HKCR\.sdp" refers to invalid object "soffice.StarStorageDocument.5". Action Taken: No Action Taken. 9: Sat Nov 26 11:34:24 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\system32\CMMGR32.EXE "%1"". Action Taken: No Action Taken. 10: Sat Nov 26 11:34:25 2005 => Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken. 11: Sat Nov 26 11:34:25 2005 => Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken. -------------------------------------------------- -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT --------- -------------------------------------------------- 1: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\525E1051.tmp => Email-Worm.Win32.NetSky.b 2: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5430160A.tmp => Email-Worm.Win32.NetSky.b 3: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\544311F4.tmp => Email-Worm.Win32.NetSky.b 4: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\54610BD4.tmp => Email-Worm.Win32.NetSky.b 5: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6A7E43C3.exe => not-virus:Hoax.Win32.Renos.ab 6: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7EC90E05.exe => Trojan-Downloader.Win32.IstBar.gen 7: C:\Dokumente und Einstellungen\User\Favoriten\Your system is => 8: C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003812.exe => Trojan.Win32.StartPage.adi 9: C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003845.exe => Trojan-Spy.Win32.Small.dg 10: C:\System Volume Information\_restore{79BF83DB-C962-44B6-B4AE-CC88474AEBD6}\RP18\A0003920.exe => Trojan-Downloader.Win32.Agent.wn -------------------------------------------------- -------------------- Statistik ------------------- -------------------------------------------------- Sat Nov 26 12:02:43 2005 => Total Objects Scanned: 53969 Sat Nov 26 12:02:43 2005 => Total Virus(es) Found: 32 Sat Nov 26 12:02:43 2005 => Total Errors: 11 Sat Nov 26 12:02:44 2005 => Virus Database Date: 2005/11/25 Sat Nov 26 12:02:44 2005 => Virus Database Count: 161502 Sat Nov 26 12:07:55 2005 => Total Objects Scanned: 53969 Sat Nov 26 12:07:55 2005 => Total Virus(es) Found: 32 Sat Nov 26 12:07:55 2005 => Total Errors: 11 +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Lieben Gruß, chrissi Dieser Beitrag wurde am 26.11.2005 um 12:55 Uhr von chrissi25 editiert.
|
|
|
||
26.11.2005, 17:17
Ehrenmitglied
Beiträge: 29434 |
#10
hallo chrissi25
es reicht nicht, die sichtbaren Dateien zu loeschen...man muss tiefer graben wende CleanUp an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ---------- Info:c:\secure32.html http://virus-protect.org/artikel/spyware/secure_32.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2005, 17:54
...neu hier
Themenstarter Beiträge: 10 |
#11
Das mit dem Clean-Up sollte man glaub ich ruhig öffter mal machen, oder? o.o'' Die Kiste wurde vor einer Woche platt gemacht und das Programm konnte gut 100 MB frei machen. oÔ
Clean-Up ist also durch. Hier die Auszüge aus den Textdateien. (immer ab 08.2005) system32.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ 26.11.2005 17:41 12.470 wacom.dat 26.11.2005 17:37 13.646 wpa.dbl 22.11.2005 13:10 311.604 perfh009.dat 22.11.2005 13:10 316.594 perfh007.dat 22.11.2005 13:10 39.992 perfc009.dat 22.11.2005 13:10 48.156 perfc007.dat 22.11.2005 13:10 723.744 PerfStringBackup.INI 22.11.2005 13:08 209.696 FNTCACHE.DAT 21.11.2005 18:51 44 msssc.dll 21.11.2005 18:43 261 $winnt$.inf 21.11.2005 18:40 2.951 CONFIG.NT 21.11.2005 18:40 16.832 amcompat.tlb 21.11.2005 18:40 23.392 nscompat.tlb 21.11.2005 18:38 488 WindowsLogon.manifest 21.11.2005 18:38 488 logonui.exe.manifest 21.11.2005 18:38 749 cdplayer.exe.manifest 21.11.2005 18:38 749 wuaucpl.cpl.manifest 21.11.2005 18:38 749 sapi.cpl.manifest 21.11.2005 18:38 749 ncpa.cpl.manifest 21.11.2005 18:38 749 nwc.cpl.manifest 21.11.2005 18:36 21.740 emptyregdb.dat 21.11.2005 18:33 0 h323log.txt 10.11.2005 21:17 2.377.568 MRT.exe 13.10.2005 00:11 118.784 sirenacm.dll 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 17:26 3.013.120 mshtml.dll 23.09.2005 04:06 8.491.520 shell32.dll 22.09.2005 18:23 466.944 capicom.dll 19.09.2005 11:24 534.160 SymNeti.dll 19.09.2005 11:23 161.424 SymRedir.dll 17.09.2005 00:20 87.768 S32EVNT1.DLL 10.09.2005 02:54 2.067.968 cdosys.dll 03.09.2005 00:53 664.064 wininet.dll 03.09.2005 00:53 96.768 inseng.dll 03.09.2005 00:53 251.392 iepeers.dll 03.09.2005 00:53 146.432 msrating.dll 03.09.2005 00:53 530.432 mstime.dll 03.09.2005 00:53 448.512 mshtmled.dll 03.09.2005 00:53 55.808 extmgr.dll 03.09.2005 00:53 39.424 pngfilt.dll 03.09.2005 00:53 205.312 dxtrans.dll 03.09.2005 00:53 474.112 shlwapi.dll 03.09.2005 00:53 605.696 urlmon.dll 03.09.2005 00:53 1.484.288 shdocvw.dll 03.09.2005 00:53 152.064 cdfview.dll 03.09.2005 00:53 1.019.904 browseui.dll 03.09.2005 00:53 1.055.744 danim.dll 01.09.2005 02:44 292.352 winsrv.dll 01.09.2005 02:44 19.968 linkinfo.dll 30.08.2005 04:55 1.292.800 quartz.dll 23.08.2005 04:39 124.416 umpnpmgr.dll 22.08.2005 19:31 197.632 netman.dll 11.08.2005 16:11 65.024 nwwks.dll +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ systemtemp.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14B6-AF92 Verzeichnis von C:\DOKUME~1\User\LOKALE~1\Temp [ist nichts weiter drin] +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ system.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ 26.11.2005 17:41 0 0.log 26.11.2005 17:41 675.313 WindowsUpdate.log 26.11.2005 17:40 2.048 bootstat.dat 26.11.2005 17:40 14.326 SchedLgU.Txt 26.11.2005 17:36 50 wiaservc.log 26.11.2005 17:36 801 wiadebug.log 26.11.2005 14:29 1.357 WINCMD.INI 26.11.2005 14:28 459 wcx_ftp.ini 26.11.2005 14:01 20.450 SIFBPCALIB.DAT 26.11.2005 09:59 24 pqc3b 25.11.2005 09:08 598 win.ini 24.11.2005 13:49 0 uniq 23.11.2005 17:08 494.484 setupapi.log 22.11.2005 13:26 0 nsreg.dat 22.11.2005 13:26 100.482 UninstallThunderbird.exe 22.11.2005 13:26 3.630 mozver.dat 21.11.2005 21:36 86.158 comsetup.log 21.11.2005 21:36 280.459 iis6.log 21.11.2005 21:36 50.814 ntdtcsetup.log 21.11.2005 21:36 107.871 tsoc.log 21.11.2005 21:36 12.640 ocmsn.log 21.11.2005 21:36 1.393 imsins.log 21.11.2005 21:36 11.868 tabletoc.log 21.11.2005 21:36 28.346 KB899587.log 21.11.2005 21:36 116.736 ocgen.log 21.11.2005 21:36 40.121 netfxocm.log 21.11.2005 21:36 16.242 MedCtrOC.log 21.11.2005 21:36 11.547 msgsocm.log 21.11.2005 21:36 222.356 FaxSetup.log 21.11.2005 21:35 75.702 msmqinst.log 21.11.2005 21:35 12.624 updspapi.log 21.11.2005 21:32 17.231 KB894391.log 21.11.2005 21:32 17.472 KB890859.log 21.11.2005 20:59 0 Net-It Now! SE.INI 21.11.2005 20:58 38 Approach.ini 21.11.2005 20:55 0 winhelp.ini 21.11.2005 20:12 1.229 wmsetup.log 21.11.2005 18:46 3.065 Ascd_tmp.ini 21.11.2005 18:45 829 OEWABLog.txt 21.11.2005 18:44 8.192 REGLOCS.OLD 21.11.2005 18:40 0 control.ini 21.11.2005 18:40 316.640 WMSysPr9.prx 21.11.2005 18:39 4.161 ODBCINST.INI 21.11.2005 18:38 749 WindowsShell.Manifest 21.11.2005 18:37 1.023 sessmgr.setup.log 21.11.2005 18:36 37 vbaddin.ini 21.11.2005 18:36 36 vb.ini 21.11.2005 18:36 133 DtcInstall.log 21.11.2005 18:34 200 cmsetacl.log 21.11.2005 18:28 0 Sti_Trace.log 21.11.2005 18:25 1.348 regopt.log 21.11.2005 18:22 0 setuperr.log 21.11.2005 16:47 7.009 KB898461.log 21.11.2005 16:14 181.808 setupact.log 21.11.2005 15:52 227 system.ini 21.11.2005 12:06 20.552 LUINSTALL.LOG 21.11.2005 12:04 8.460 KB893803v2.log 21.11.2005 12:01 785.352 setuplog.txt 15.06.2005 02:20 427.520 WRServices.dll +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ sys.txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ 26.11.2005 17:51 0 sys.txt 26.11.2005 17:50 6.735 system.txt 26.11.2005 17:49 132 systemtemp.txt 26.11.2005 17:45 92.923 system32.txt 26.11.2005 17:40 535.678.976 hiberfil.sys 26.11.2005 17:40 805.306.368 pagefile.sys 26.11.2005 12:02 0 23990098.$$$ 26.11.2005 12:02 5 AVPCallback.log 21.11.2005 18:40 0 AUTOEXEC.BAT 21.11.2005 18:40 0 CONFIG.SYS 21.11.2005 18:40 0 IO.SYS 21.11.2005 18:40 0 MSDOS.SYS 21.11.2005 15:52 211 boot.ini 04.08.2004 13:00 47.564 NTDETECT.COM +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Ich hoffe, dass ist jetzt alles wie du es brauchst. o.o Vielen Dank schon im Voraus! chrissi |
|
|
||
26.11.2005, 21:01
Ehrenmitglied
Beiträge: 29434 |
#12
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html c:\windows\system32\msssc.dll ------------- poste das Log vom Silentrunner http://virus-protect.org/silentrunner.html dann beginnt die reinigung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2005, 21:28
...neu hier
Themenstarter Beiträge: 10 |
#13
So. also nacheinander. Werd den Eintrag aktualisieren, sobald ich weiter bin.
Zu Schritt 1: This is a report processed by VirusTotal on 11/26/2005 at 21:26:44 (CET) after scanning the file "msssc.dll" file. Antivirus Version Update Result AntiVir 6.32.0.6 11.26.2005 no virus found Avast 4.6.695.0 11.26.2005 no virus found AVG 718 11.25.2005 no virus found Avira 6.32.0.6 11.26.2005 no virus found BitDefender 7.2 11.26.2005 no virus found CAT-QuickHeal 8.00 11.25.2005 no virus found ClamAV devel-20051108 11.25.2005 no virus found DrWeb 4.33 11.26.2005 no virus found eTrust-Iris 7.1.194.0 11.24.2005 no virus found eTrust-Vet 11.9.1.0 11.25.2005 no virus found Fortinet 2.48.0.0 11.25.2005 no virus found F-Prot 3.16c 11.24.2005 no virus found Ikarus 0.2.59.0 11.26.2005 no virus found Kaspersky 4.0.2.24 11.26.2005 no virus found McAfee 4637 11.25.2005 no virus found NOD32v2 1.1305 11.25.2005 no virus found Norman 5.70.10 11.25.2005 no virus found Panda 8.02.00 11.26.2005 no virus found Sophos 4.00.0 11.26.2005 no virus found Symantec 8.0 11.26.2005 no virus found TheHacker 5.9.1.044 11.24.2005 no virus found VBA32 3.10.5 11.26.2005 no virus found VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español -------------------------------------------------------------------------------- www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Zu Schritt2. Hier das Log vom Silent Runner: "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "Net-It Launcher" = "C:\WINDOWS\system32\NILaunch.exe" [null data] "SpySweeper" = ""C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray" ["Webroot Software, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {A8F38D8D-E480-4D52-B7A2-731BB6995FDD}\(Default) = "NAV Helper" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 [enables Active Desktop and prevents disabling it] {User Configuration|Administrative Templates|Desktop|Active Desktop| Enable Active Desktop} HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html" [disables the Display Properties|Desktop (tab) (except the "Customize Desktop..." button); selects wallpaper and enables Active Desktop] {User Configuration|Administrative Templates|Desktop|Active Desktop| Active Desktop Wallpaper|Wallpaper Name:} Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. Wallpaper selected via Group Policy. Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\ "FriendlyName" = "" "Source" = "C:\Dokumente und Einstellungen\User\Eigene Dateien\Eigene Bilder\Wallpapers\Harry Potter\hp_ravenclaw2.jpg" "SubscribedURL" = "C:\Dokumente und Einstellungen\User\Eigene Dateien\Eigene Bilder\Wallpapers\Harry Potter\hp_ravenclaw2.jpg" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\2\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmarque.scr" [MS] Startup items in "User" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "InterVideo WinCinema Manager" -> shortcut to: "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" [empty string] "TabUserW.exe" -> shortcut to: "C:\WINDOWS\system32\Wtablet\TabUserW.exe" ["Wacom Technology, Corp."] Enabled Scheduled Tasks: ------------------------ "Norton AntiVirus - Vollständige Systemprüfung ausführen - User" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"] "Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{C4069E3A-68F1-403E-B40E-20066696354B}" = "Norton AntiVirus" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\ "ButtonText" = "AIM" "Exec" = "C:\Programme\AIM95\aim.exe" ["America Online, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ Missing lines (compared with English-language version): "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"] Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"] Norton Protection Center Service, NSCService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE"" ["Symantec Corporation"] SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."] SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"] Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"] Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"] TabletService, TabletService, "C:\WINDOWS\system32\Tablet.exe" ["Wacom Technology, Corp."] Webroot Spy Sweeper Engine, svcWRSSSDK, "C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe" ["Webroot Software, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 55 seconds, including 18 seconds for message boxes) +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Und nun? Vielen Dank bis her, chrissi Dieser Beitrag wurde am 26.11.2005 um 21:32 Uhr von chrissi25 editiert.
|
|
|
||
26.11.2005, 22:22
Ehrenmitglied
Beiträge: 29434 |
#14
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4Gehe in die Registry Start-->Ausfuehren--> regedit HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "Wallpaper" = "C:\WINDOWS\desktop.html" <---loeschen loesche: C:\WINDOWS\uniq PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. counterspy http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.11.2005, 23:23
...neu hier
Themenstarter Beiträge: 10 |
#15
Ich dank dir schon jetzt! Sehe meinen Desktop wieder so, wie ich sollte. *froi*
CounterSpy hat nicht automatisch nen Report ausgespuckt. Hat aber 7 Sachen gefunden, die ich hab löschen lassen. +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Spyware Scan Details Start Date: 26.11.2005 23:50:54 End Date: 27.11.2005 00:06:37 Total Time: 15 mins 43 secs Detected spyware Trojan.Desktophijack Trojan more information... Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer. Status: Deleted Infected registry entries detected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ForceActiveDesktopOn 1 Cok.PriceBandit Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\user\cookies\user@apmebf[1].txt ATDMT.com Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\user\cookies\user@atdmt[2].txt CGI-Bin Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\user\cookies\user@cgi-bin[2].txt DoubleClick Cookie more information... Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising. Status: Deleted Infected cookies detected c:\dokumente und einstellungen\user\cookies\user@doubleclick[2].txt Mediaplex.com Cookie more information... Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies. Status: Deleted Infected cookies detected c:\dokumente und einstellungen\user\cookies\user@mediaplex[1].txt Radar Spy 1.0 Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\user\cookies\user@tradedoubler[2].txt +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ Oder war das das falsche? Nya, jetzt erst mal ne gute Nacht, chrissi Dieser Beitrag wurde am 27.11.2005 um 00:13 Uhr von chrissi25 editiert.
|
|
|
||
es tut mir wirklich Leid, dass ich nun auch noch nach einer Lösung fragen muss. Seit heute Mittag hab ich den Kram drauf und hab alle möglichen Tests durchlaufen lassen und nach Hilfen im Netz gesucht - aber nicht wirklich viel verstanden.
Für mich erkenntlich sind zwei Probleme - zum einen will sich "secure32.html" bei jedem Öffnen des Internet Explorers als Startseite einrichten (was Norton brav verhindert) und zum zweiten hab ich diesen wirklich netten Desktophintergrund ("Your system is infected with spyware"), den ich nicht ändern kann.
Außerdem sind da 6 Dateien im Ordner "Windows", die seit Auftreten des Problems da sind, aber ich weiß nicht, ob ich die nun enfach nur löschen soll oder ob ich dadruch am Ende etwas beschädige...
Bin über dieses Forum gestoplert und habe, wie erklärt, ein hjackthis.log-file anfertigen lassen, mit dem ich aber überhaupt nichts anfangen kann.
Hier also das File:
+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++
Logfile of HijackThis v1.99.1
Scan saved at 18:25:28, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\NILaunch.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\paytime.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7DAD3E2-292E-494C-8231-6D0AC62BF690}: NameServer = 192.168.100.50
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
+++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++ +++
Meine Nerven liegen blank. Hoffentlich könnt ihr mir helfen.
Vielen Dank schon im Voraus,
chrissi